إخفاء البرامج الخبيثة في برنامج UEFI الثابت للكمبيوتر ، أصبح الكود العميق الذي يخبر الكمبيوتر كيفية تحميل نظام التشغيل الخاص به ، خدعة خبيثة في مجموعة أدوات المتسللين المتخفين. ولكن عندما تقوم إحدى الشركات المصنعة للوحة الأم بتثبيت بابها الخلفي المخفي في البرامج الثابتة لملايين أجهزة الكمبيوتر – ولا تضع قفلًا مناسبًا على هذا المدخل الخلفي المخفي – فإنها تقوم عمليًا بعمل المتسللين نيابة عنهم.
كشف باحثون في شركة Eclypsium للأمن السيبراني التي تركز على البرامج الثابتة اليوم أنهم اكتشفوا آلية خفية في البرامج الثابتة للوحات الأم التي تبيعها الشركة المصنعة التايوانية Gigabyte ، والتي تُستخدم مكوناتها بشكل شائع في أجهزة الكمبيوتر المخصصة للألعاب وغيرها من أجهزة الكمبيوتر عالية الأداء. عندما يتم إعادة تشغيل جهاز كمبيوتر مع اللوحة الأم Gigabyte المتأثرة ، وجد Eclypsium أن الكود الموجود داخل البرنامج الثابت للوحة الأم يبدأ بشكل غير مرئي برنامج تحديث يعمل على الكمبيوتر ويقوم بدوره بتنزيل برنامج آخر وتنفيذه.
بينما يقول Eclypsium أن الشفرة المخفية تهدف إلى أن تكون أداة غير ضارة للحفاظ على تحديث البرامج الثابتة للوحة الأم ، وجد الباحثون أنه تم تنفيذها بشكل غير آمن ، مما قد يسمح باختطاف الآلية واستخدامها لتثبيت البرامج الضارة بدلاً من برنامج Gigabyte المقصود. ونظرًا لأن برنامج التحديث يتم تشغيله من البرامج الثابتة للكمبيوتر ، خارج نظام التشغيل الخاص به ، فمن الصعب على المستخدمين إزالته أو حتى اكتشافه.
يقول جون لوكيدس ، الذي يقود الإستراتيجية والبحث في Eclypsium. “إن مفهوم العمل تحت المستخدم النهائي والاستيلاء على أجهزته لا يتوافق جيدًا مع معظم الأشخاص.”
في مدونتها حول البحث ، يسرد Eclypsium 271 نموذجًا للوحات Gigabyte التي يقول الباحثون إنها متأثرة. يضيف Loucaides أن المستخدمين الذين يرغبون في معرفة اللوحة الأم التي يستخدمها الكمبيوتر يمكنهم التحقق من خلال الانتقال إلى “ابدأ” في Windows ثم “معلومات النظام”.
تقول Eclypsium إنها وجدت آلية البرامج الثابتة المخفية الخاصة بـ Gigabyte أثناء البحث عن أجهزة كمبيوتر العملاء بحثًا عن تعليمات برمجية ضارة قائمة على البرامج الثابتة ، وهي أداة شائعة بشكل متزايد يستخدمها قراصنة متطورون. في عام 2018 ، على سبيل المثال ، تم اكتشاف متسللين يعملون نيابة عن وكالة المخابرات العسكرية الروسية GRU يقومون بصمت بتثبيت برنامج مكافحة السرقة القائم على البرامج الثابتة LoJack على أجهزة الضحايا كتكتيك تجسس. تم رصد متسللين صينيين ترعاهم الدولة بعد ذلك بعامين وهم يعيدون استخدام أداة تجسس قائمة على البرامج الثابتة أنشأتها شركة Hacking Team التي تعمل بالقرصنة للتأجير لاستهداف أجهزة الكمبيوتر الخاصة بالدبلوماسيين وموظفي المنظمات غير الحكومية في إفريقيا وآسيا وأوروبا. فوجئ باحثو Eclypsium برؤية عمليات المسح الآلي للكشف عن آلية تحديث Gigabyte لتنفيذ بعض السلوك المشبوه مثل أدوات القرصنة التي ترعاها الدولة – الاختباء في البرامج الثابتة وتثبيت برنامج يقوم بتنزيل التعليمات البرمجية من الإنترنت بصمت.
ربما أثار محدث Gigabyte وحده مخاوف المستخدمين الذين لا يثقون في Gigabyte لتثبيت التعليمات البرمجية بصمت على أجهزتهم باستخدام أداة غير مرئية تقريبًا – أو الذين يخشون أن يتم استغلال آلية Gigabyte من قبل المتسللين الذين يخرقون الشركة المصنعة للوحة الأم لاستغلال وصولها المخفي في هجوم سلسلة توريد البرمجيات. لكن Eclypsium اكتشف أيضًا أن آلية التحديث قد تم تنفيذها مع وجود ثغرات أمنية صارخة قد تسمح باختراقها: فهي تقوم بتنزيل التعليمات البرمجية إلى جهاز المستخدم دون مصادقتها بشكل صحيح ، وأحيانًا حتى عبر اتصال HTTP غير محمي ، بدلاً من HTTPS. سيتيح هذا لمصدر التثبيت أن يتم انتحاله من خلال هجوم رجل في الوسط ينفذه أي شخص يمكنه اعتراض اتصال الإنترنت الخاص بالمستخدم ، مثل شبكة Wi-Fi المارقة.
