كشف باحثو كاسبرسكي النقاب عن حملة تجسس رقمي تقف خلفها إحدى جهات التهديدات المتقدمة المستمرة وتستخدم فيها نوعاً نادراً جداً من البرمجيات الخبيثة يُعرف باسم firmware bootkit. واكُتشفت هذه البرمجيات الخبيثة بتقنية فحص UEFI / BIOS من كاسبرسكي، والتي تتميز بقدرتها على اكتشاف التهديدات المعروفة والمجهولة. وحدّدت تقنية الفحص برمجية خبيثة لم تكن معروف سابقاً في الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI)، وهي جزء أساسي في أي جهاز حاسوب حديث، ما يجعل من الصعب اكتشافها وإزالتها من الأجهزة المصابة. وتشكّل البرمجية المكتشفة نسخة معدلة من bootkit خاصة بمجموعة Hacking Team التخريبية، والتي كانت سُرّبت في العام 2015.وتُعد البرمجيات الثابتة UEFI جزءاً أساسياً من أي جهاز حاسوب، وتبدأ في العمل قبل نظام التشغيل وقبل جميع البرمجيات المثبتة فيها. وإذا خضعت هذه البرمجيات لأي تعديل يهدف إلى تضمينها شيفرة خبيثة، فإن هذه الشيفرة سوف تُشغّل قبل نظام التشغيل، ما يجعل نشاطها خفيّاً عن الحلول الأمنية. كذلك فإن كون البرمجيات الثابتة نفسها موجودة على شريحة ذاكرة فلاشية منفصلة عن القرص الصلب، يجعل الهجمات التي تُشنّ ضدها ذات قدرة استثنائية على المراوغة والاستمرار. وباختصار، فإن إصابة البرمجية الثابتة باستخدام bootkit يعني بقاءها مزروعة على الجهاز بغض النظر عن عدد المرات التي يُعاد فيها تثبيت نظام التشغيل.وقد وجد باحثو كاسبرسكي عينة من هذه البرمجيات الخبيثة في حملة وظّفت نسخاً من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor. واستُخدمت هذه البُنية للتجسس وجمع البيانات بعد أن لجأت إلى برمجية خبيثة لم تكن معروفة من قبل، زُرعت في UEFI لتضمن استمرارها في العمل. واستندت مكونات bootkit التي كشف النقاب عنها على bootkit يُسمّى Vector-EDK كانت طورته عصابة HYPERLINK "https://www.theguardian.com/technology/2015/jul/06/hacking-team-hacked-firm-sold-spying-tools-to-repressive-regimes-documents-claim" Hacking Team وسُرّبت شيفرته المصدرية إلى الإنترنت في العام 2015. ويُرجّح أن تكون هذه الشيفرة سمحت للمخربين ببناء برمجيتهم الخاصة بقليل من الجهد التطويري وبكثير من الحرص على تقليل مخاطر تعرّضها للانكشاف.وعُثر على الهجمات بمساعدة البرمجية الأمنية Firmware Scanner، التي جُعلت جزءاً من منتجات كاسبرسكي منذ بداية العام 2019. وكانت هذه التقنية طُوّرت لاكتشاف التهديدات المخبّأة في الذاكرة التشغيلية للنظام، المعروفة بالاسم ROM BIOS على وجه التحديد، وبما يشمل صور البرمجيات الثابتة UEFI.ولم يكن من الممكن التعرّف بدقة على ناقل العدوى الذي سمح للمهاجمين بالكتابة فوق برمجيات UEFI الثابتة الأصلي، لكن خبراء كاسبرسكي استنتجوا طريقة فعل ذلك بناءً على ما عُرف عن VectorEDK من مستندات Hacking Team المسربة. وتشير هذه الطريقة، من دون استبعاد الاحتمالات الأخرى، إلى أن الإصابات قد أُحدثت بوصول المخربين شخصياً إلى جهاز الضحية، وتحديداً باستخدام مفتاح تشغيل قابل للتوصيل عبر منفذ USB، والذي ربما احتوى على أداة تحديث خاصة. بعد ذلك، سهلت البرمجية الثابتة، التي خضعت للتغيير، تثبيت برمجية تنزيل تروجان يتيح بدوره تنزيل أية حمولة مناسبة لاحتياجات الجهة التخريبية عند تشغيل نظام التشغيل.