كاسبرسكي: برنامج Absolute Computrace معرض للاختراق عن بعد

نشر فريق بحوث الأمن بكاسبرسكي لاب اليوم تقريرا يؤكد ويظهر في نفس الوقت أن التفعيل الضعيف للبرنامج المكافح للسرقة والمروج له بAbsolute Software قد يتحول من أداة دفاعية مفيدة إلى أداة فعالة تخدم مصالح المجرمين الالكترونيين.
ويتيح هذا الأمر للمخترقين إمكانية الوصول الكامل إلى حواسيب ملايين المستخدمين. وركز البحث على Absolute Computrace Agent الذي يتموضع في البرامج الثابتة أو نظام الإدخال/الإخراج الأساسي (BIOS) للحواسيب المحمولة والمكتبية.
وكان السبب الأساسي لبدء المشروع البحثي في اكتشاف أن Computrace Agent يعمل على عدد من الحواسيب الشخصية لباحثي كاسبرسكي لاب والحواسيب المؤسسية دون ترخيص مسبق. على الرغم من أن Computrace منتج مرخص مطور من قبل Absolute Software، فإن بعض أصحاب الأنظمة أكدوا أنهم لم يقوموا بتثبيت أو تفعيل هذا البرنامج على آلاتهم أبدا وحتى لم يعلموا بوجودها في أجهزتهم. أغلبية البرامج التقليدية المحملة مسبقا على الاجهزة يمكن إزالتها أو تعطيل عملها بالكامل من قبل المستخدم؛ إلا أن Computrace مصمم لتجنب التنظيف الاحترافي للنظام وحتى إزالة القرص الثابت.
وقد يدرك المستخدم بالخطأ أن Computrace برنامج خبيث نظرا لأنه يستخدم تكتيكات تسود في البرمجيات الخبيثة: تقنيات هندسية مثل anti-debugging و anti-reverse، الإدخال إلى ذاكرة العمليات الأخرى، إنشاء اتصالات سرية، إصلاح ملفات النظام على القرص، الحفاظ على تشفير ملفات الإعدادات وإسقاط ملف تنفيذ Windows من البرامج الثابتة/ نظام BIOS مباشرة.
وقال فيتالي كاملوك، الباحث الأمني الأساسي في فريق البحث والتحليل العالمي بكاسبرسكي لاب: "مخترقون أقوياء قادرون على التنصت على أسلاك الألياف البصرية يمكنهم اختراق الحواسيب التي تشغل Absolute Computrace. هذه البرمجية قد تستخدم في زرع برمجيات التجسس في النظام. نحن نتوقع أن ملايين الحواسيب التي تعمل ب Absolute Computrace وعدد كبير من المستخدمين قد لا يعلمون بأن هذا البرنامج مفعل على حواسيبهم. من هو المستفيد من تفعيل Absolute Computrace على جميع هذه الحواسيب؟ هل هي تحت مراقبة لاعب غير معروف؟ هذا هو اللغز الذي يجب حله."
إحصائيات:
● وفقا لشبكة كاسبرسكي للأمان، هناك قرابة 150 ألفا من المستخدمين لهم حواسيب تقوم بتشغيل Computrace. وقد يتجاوز العدد الاجمالي للمستخدمين ممن فعّلوا Computrace Agent على حواسيبهم المليونين. من غير الواضح كم من هؤلاء المستخدمين يعلمون بتشغيل Computrace Agent على أنظمتهم.
● غالبية هذه الحواسيب تتركز في الولايات المتحدة وروسيا.
العيوب الأمنية
إن البرتوكول الشبكي المستخدم من قبل Computrace Small Agent يوفر الخصائص الأساسية لتنفيذ الشيفرة عن بعد. ولا يتطلب البروتوكول أي تشفير أو ترخيص للخادم البعيد ما يخلق الكثير من إمكانيات الهجمات عن بعد في البيئة الشبكية العدائية.
منصة هجومية
لا توجد أي أدلة على أن Absolute Computrace يستخدم كمنصة للهجمات. إلا أن خبراء من مختلف الشركات يرون أن هناك احتمال بوقوع الهجمات؛ بعض الحقائق المنذرة بالخطر وغير الواضحة لحالات تفعيل Computrace غير المرخص يجعل ذلك واقعيا أكثر فأكثر.
في عام 2009، عرض باحثون من Core Security Technologies بعضا من النتائج التي توصلوا إليها حول Absolute Computrace. وقد حذر الباحثون من مخاطر هذه التقنية وبينوا كيفية قيام المهاجمين بتعديل سجل النظام للاستحواذ على استجابات Computrace. السلوك العدائي ل Computrace Agent كان سببا في اعتباره برنامجا خبيثا في الماضي. وفقا لبعض التقارير، اعتبر Computrace من قبل Microsoft ك VirTool:Win32/BeeInjec. إلا أن الاكتشاف الأخير قد ألغي من قبل Microsoft وبعض شركات مكافحة البرمجيات الخبيثة: الملفات التنفيذية ل Computrace أدرجت حاليا في القوائم البيضاء لغالبية الشركات التي تعمل في مجال مكافحة البرمجيات الخبيثة.
وقال كاملوك في هذا الشأن: "مثل هذه الأداة الفعالة ك Absolute Computraceيجب أن تستخدم آليات الترخيص والتشفير لمواصلة العمل لأغراض خيّرة. من الواضح أن هناك الكثير من الحواسيب يتم تفعيل Computrace عليها، إنها مسؤولية المصنّع (في هذه الحالة هو Absolute Software) في إبلاغ المستخدمين وشرح كيفية تفعيل وتعطيل هذا البرنامج. وإلا ستواصل هذه البرامج "اليتيمة" العمل دون أن يلاحظها أحد وتوفر إمكانية التحكم بها عن بعد."