كشف باحثو الأمن السيبراني عن ثغرات أمنية في كاميرات ويب من طرازات مختارة من شركة لينوفو، قد تحولها إلى أجهزة هجوم BadUSB.
قال بول أسادوريان، وميكي شكاتوف، وجيسي مايكل، باحثو "Eclypsium"، في تقرير: "هذا يسمح للمهاجمين عن بُعد بحقن ضغطات المفاتيح سرًا وشن هجمات مستقلة عن نظام التشغيل المُضيف".
أطلقت شركة أمن البرامج الثابتة على هذه الثغرات اسم BadCam، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business".
يُرجح أن هذا التطور يُمثل المرة الأولى التي يُثبت فيها أن الجهات الفاعلة التي تتحكم في جهاز طرفي USB يعمل بنظام "لينكس" ومتصل بالفعل بجهاز كمبيوتر، يمكنها استغلاله لأغراض خبيثة.
في سيناريو هجوم افتراضي، يمكن للمهاجم استغلال هذه الثغرة لإرسال كاميرا ويب مُخترقة إلى الضحية، أو توصيلها بجهاز كمبيوتر إذا كان قادرًا على تأمين الوصول الفعلي، وإصدار أوامر عن بُعد لاختراق جهاز الكمبيوتر لتنفيذ أنشطة ما بعد الاستغلال.
وتعد هجمات BadUSB، هي عبارة عن هجمات تستغل ثغرة أمنية متأصلة في برمجيات USB الثابتة، ويعيد برمجتها لتنفيذ أوامر أو تشغيل برامج ضارة على جهاز الضحية بسرية.
ويشير إيفانتي في شرحه للتهديد الذي نُشر أواخر الشهر الماضي: "على عكس البرامج الضارة التقليدية، التي تختبئ في نظام الملفات ويمكن غالبًا اكتشافها بواسطة أدوات مكافحة الفيروسات، فإن BadUSB يختبئ في طبقة البرامج الثابتة".
وتابع: "بمجرد توصيله بجهاز كمبيوتر، يستطيع جهاز BadUSB محاكاة لوحة مفاتيح لكتابة أوامر ضارة، وتثبيت برمجيات خبيثة أو برامج تسجيل ضغطات المفاتيح، وإعادة توجيه حركة مرور الإنترنت، واستخراج البيانات الحساسة".
حذرت شركة Mandiant المملوكة لـ "غوغل" ومكتب التحقيقات الفيدرالي الأميركي (FBI) من أن مجموعة التهديد ذات الدوافع المالية والتي يتم تعقبها باسم FIN7 لجأت إلى إرسال بريد إلكتروني "BadUSB" إلى أجهزة USB خبيثة تابعة لمنظمات مقرها الولايات المتحدة لتوصيل برنامج خبيث يسمى DICELOADER.
يُظهر أحدث اكتشاف من "Eclypsium" أن الأجهزة الطرفية التي تعمل بمنفذ USB، مثل كاميرات الويب التي تعمل بنظام "لينكس"، والتي لم تكن مُصممة في البداية لتكون خبيثة، يُمكن أن تكون ناقلًا لهجوم BadUSB، مما يُمثل تصعيدًا كبيرًا.
وتحديدًا، وُجد أن هذه الأجهزة يُمكن اختراقها عن بُعد وتحويلها إلى أجهزة BadUSB دون الحاجة إلى فصلها أو استبدالها فعليًا.
وأوضح الباحثون: "يمكن للمهاجم الذي يُنفذ تعليمات برمجية عن بُعد على نظام ما إعادة تثبيت البرامج الثابتة لكاميرا ويب متصلة تعمل بنظام Linux، وإعادة توظيفها لتعمل كجهاز HID خبيث أو لمحاكاة أجهزة USB إضافية".
وتابعوا: "بمجرد تسليحها، يُمكن لكاميرا الويب التي تبدو بريئة حقن ضغطات مفاتيح، أو نقل حمولات خبيثة، أو العمل كموطئ قدم لاستمرارية أكبر، كل ذلك مع الحفاظ على المظهر الخارجي والوظائف الأساسية للكاميرا القياسية".
علاوة على ذلك، يمكن لممثلي التهديد الذين لديهم القدرة على تعديل البرامج الثابتة لكاميرا الويب تحقيق مستوى أعلى من الثبات، مما يسمح لهم بإعادة إصابة جهاز الكمبيوتر الضحية بالبرامج الضارة حتى بعد مسحه وإعادة تثبيت نظام التشغيل.
تتعلق الثغرات الأمنية المكتشفة في كاميرات الويب Lenovo 510 FHD وLenovo Performance FHD بعدم تحقق الأجهزة من البرامج الثابتة، مما يجعلها عرضة لاختراق كامل لبرنامج الكاميرا عبر هجمات شبيهة بهجمات BadUSB، نظرًا لأنها تعمل بنظام "لينكس" مع دعم USB Gadget.
قالت شركة Eclypsium: "يسلط هذا الهجوم، وهو الأول من نوعه، الضوء على عامل خفي ولكنه بالغ التعقيد: غالبًا ما تثق أجهزة الكمبيوتر في المؤسسات والمستهلكين بأجهزتها الطرفية الداخلية والخارجية، حتى عندما تكون هذه الأجهزة قادرة على تشغيل أنظمة تشغيل خاصة بها وقبول التعليمات عن بُعد".
وتابعت الشركة موضحة خطورة هذه الثغرات: "في سياق كاميرات الويب الخاصة بنظام Linux، تسمح البرامج الثابتة غير الموقعة أو سيئة الحماية للمهاجم بتخريب ليس فقط المضيف ولكن أيضًا أي مضيفين مستقبليين تتصل بهم الكاميرا، مما يؤدي إلى نشر العدوى وتجاوز عناصر التحكم التقليدية."
