تم العثور على برنامج ثابت مستتر على ملايين اللوحات الأم للكمبيوتر الشخصي

استخدم مجرمو الإنترنت بشكل متزايد تكتيكًا خادعًا عن طريق إخفاء البرامج الضارة داخل البرامج الثابتة UEFI للكمبيوتر - الكود الأساسي المسؤول عن تمهيد نظام التشغيل. ومع ذلك ، يصبح الموقف أكثر إثارة للقلق عندما لا تقوم الشركة المصنعة للوحة الأم فقط بتضمين بابها الخلفي المخفي في البرامج الثابتة لملايين أجهزة الكمبيوتر ولكنها تفشل في تأمين هذا المدخل بشكل صحيح.

في الآونة الأخيرة ، اكتشف فريق من الباحثين في مجال الأمن السيبراني المتخصصين في البرامج الثابتة آلية مخفية مدمجة في البرامج الثابتة للوحات الأم التي تصنعها شركة Gigabyte ، وهي شركة تايوانية شهيرة تستخدم على نطاق واسع في أجهزة الكمبيوتر المخصصة للألعاب وأجهزة الكمبيوتر عالية الأداء. عند إعادة تشغيل الكمبيوتر باستخدام اللوحة الأم Gigabyte المتأثرة ، يقوم الكود المخفي داخل البرنامج الثابت بتشغيل برنامج محدث على الكمبيوتر. بعد ذلك ، يقوم هذا البرنامج بتنزيل وتنفيذ برنامج آخر دون علم المستخدم أو موافقته.

النوايا جيدة ، التنفيذ ليس كثيرًا

في حين أن الشفرة المخفية التي تم اكتشافها في البرنامج الثابت للوحة الأم Gigabyte كان من المفترض أن تكون أداة غير ضارة لتحديثات البرامج الثابتة ، فقد حدد الباحثون عيوبًا أمنية كبيرة في تنفيذها. تخلق نقاط الضعف هذه خطرًا محتملاً من الجهات الفاعلة الخبيثة التي تستغل الآلية ، والتي يمكن أن تستخدمها لتثبيت البرامج الضارة بدلاً من برنامج Gigabyte المقصود.

ومما يزيد المشكلة تعقيدًا حقيقة أن برنامج التحديث يبدأ من البرنامج الثابت للكمبيوتر ، ويعمل خارج نطاق نظام التشغيل الخاص بالمستخدم. هذا يجعل من الصعب للغاية على المستخدمين اكتشاف أو إزالة الكود المشكل ، مما يؤدي إلى تفاقم التأثير المحتمل للثغرة الأمنية.

مشاركة أكثر من 270 نموذجًا

لمعرفة ما إذا كانت اللوحة الأم للكمبيوتر الخاص بك تحتوي على الباب الخلفي المعني ، انتقل إلى "ابدأ" في Windows والوصول إلى "معلومات النظام".

أثناء التحقيق في التعليمات البرمجية الخبيثة المستندة إلى البرامج الثابتة ، توصل الباحثون إلى اكتشاف مهم فيما يتعلق بآلية البرامج الثابتة المخفية في Gigabyte. هذا الاكتشاف ملحوظ بشكل خاص حيث يستخدم المتسللون المتطورون في كثير من الأحيان تكتيكات مماثلة. والمثير للدهشة أن عمليات المسح الآلي التي أجراها الباحثون قد حددت آلية تحديث Gigabyte للانخراط في أنشطة مشبوهة تذكرنا بأدوات القرصنة التي ترعاها الدولة. على وجه التحديد ، تضمن الاختباء داخل البرنامج الثابت وتنفيذ برنامج يقوم بتنزيل التعليمات البرمجية من الإنترنت بصمت.

لقد أشعلت آلية التحديث الخاصة بـ Gigabyte وحدها مخاوف المستخدمين الذين يخشون من احتمال تثبيت الكود الصامت من خلال أداة غير محسوسة تقريبًا. علاوة على ذلك ، هناك خوف حقيقي من أن تقع آلية Gigabyte ضحية للاستغلال من قبل المتسللين الذين يتسللون إلى الشركة المصنعة للوحة الأم ، والاستفادة من وصولها الخفي لهجوم شنيع على سلسلة توريد البرامج. ومع ذلك ، كشف تحقيق Eclypsium عن وحي أكثر إثارة للقلق. تحتوي آلية التحديث ، المصممة لتحسين تجربة المستخدم ، على نقاط ضعف صارخة من المحتمل أن يتم اختراقها بشكل ضار. بشكل مثير للصدمة ، يقوم بتنزيل الكود إلى جهاز المستخدم دون الخضوع للمصادقة المناسبة ، وفي بعض الحالات ، يستخدم اتصال HTTP غير آمن بدلاً من HTTPS الأكثر أمانًا.

تسمح هذه الثغرة الأمنية الهائلة للجهات الحاقدة بتنظيم هجمات الرجل في الوسط ، مما يسمح لهم بخداع المستخدمين المطمئنين عن طريق انتحال مصدر التثبيت. في الأساس ، حتى شبكة Wi-Fi المارقة يمكن أن تصبح أداة خطر ، وتعترض اتصال المستخدم بالإنترنت وتهدد سلامة نظامهم.

في حالات أخرى ، تتيح آلية البرامج الثابتة لـ Gigabyte للمُحدِّث إمكانية جلب التنزيلات من جهاز تخزين محلي متصل بالشبكة (NAS). هذه الميزة ، التي تهدف على ما يبدو إلى تسهيل التحديثات داخل شبكات الأعمال ، تتجنب الوصول الواسع للإنترنت من قبل جميع الأجهزة. ومع ذلك ، عند حدوث ذلك ، يمكن لممثل ضار على نفس الشبكة التلاعب بشكل خادع بموقع NAS ، واستبدال التحديثات المصرح بها خلسة ببرامجها الضارة الخاصة.

الإصلاح قد ينجح ... أم لا؟

على الرغم من جهود Gigabyte المحتملة لمعالجة مشكلة البرامج الثابتة ، غالبًا ما تنتهي تحديثات البرامج الثابتة بصمت على أجهزة المستخدمين بسبب الطبيعة المعقدة للعملية والتحدي المتمثل في محاذاة البرامج الثابتة مع الأجهزة. هذا الوحي مقلق للغاية ، بالنظر إلى العدد الهائل من الأجهزة التي يمكن أن تتأثر. في حين أنه من المحتمل أن Gigabyte لم يكن لديها نوايا خبيثة أو خادعة باستخدام أداة البرامج الثابتة المخفية ، فإن الثغرات الأمنية الموجودة في الشفرة المخفية أسفل نظام التشغيل تقوض ثقة المستخدمين الأساسية في أجهزتهم.