في تطور لافت في مجال الهجمات السيبرانية، كشف الباحث الأمني كازوكي ماتسو من شركة FFRI Security خلال مشاركته في مؤتمر Black Hat 2025، الذي انطلقت فعالياته اليوم في الثاني من أغسطس وتستمر حتى السابع منه في الولايات المتحدة، عن تقنية “Shade BIOS”، وهي وسيلة متقدمة تسمح بتشغيل البرمجيات الخبيثة بالكامل من داخل نظام الـBIOS، دون أي تفاعل مع نظام التشغيل. ويؤدي هذا النهج إلى تجاوز كل أدوات الحماية السيبرانية التقليدية، مثل برامج مكافحة الفيروسات، وتقنيات الكشف والاستجابة الممتدة (EDR/XDR)، وحتى أنظمة تتبع أحداث Windows.
في السابق، كانت الهجمات التي تستهدف واجهة UEFI (الخليفة التقنية لنظام BIOS التقليدي) تسعى لتحقيق الاستمرارية عبر الوصول المبكر للنظام قبل عملية الإقلاع (Boot Process). غير أن البرمجيات الخبيثة القائمة على UEFI كانت تحتاج لاحقاً إلى النظام التشغيلي لتنفيذ مهامها الخبيثة، وهو ما يجعلها عرضة للاكتشاف من قبل الأنظمة الأمنية. وفي المقابل، تأتي تقنية Shade BIOS لتقلب المعادلة، إذ تقوم بخداع محمّل النظام (OS Loader) عبر تعديل “خريطة الذاكرة” التي يُزوَّد بها خلال عملية الإقلاع (Boot Process)، ما يجعل النظام يحتفظ بوظائف الـBIOS نشطة في الذاكرة بعد التشغيل.
هذه الخريطة الزائفة توحي بأن منطقة الذاكرة الخاصة بـBIOS لا تزال مستخدمة أثناء التشغيل، مما يُمكن المهاجم من تشغيل برمجياته في بيئة مستقلة، تشبه نظام تشغيل مصغر يعمل بالتوازي مع النظام الفعلي، دون أن يكتشفه أحد. وأوضح ماتسو أن الـBIOS يحتوي على آليات إدارة ذاكرة وسواقة أجهزة مستقلة (Independent Memory Management and Device Drivers)، يمكن استغلالها مباشرة لقراءة الملفات وكتابتها دون اللجوء إلى واجهات Windows.
وما يجعل هذه التقنية أكثر إثارة للقلق أنها لا تحتاج إلى تعديل أكواد النظام (System Code) أو زرع أكواد في ملفات حساسة، كما هو الحال في بعض أدوات bootkit المعروفة. والأخطر من ذلك أن هذا الأسلوب يعمل بشكل موحد على أي جهاز يدعم معيار UEFI، مما يمنح المهاجمين قابلية واسعة لاستخدامه عبر مختلف الأجهزة والأنظمة.
رغم هذه الخطورة، فإن الباحث أكد أن تنفيذ مثل هذا النوع من الهجمات لا يزال نادرا خارج نطاق الاستهدافات الحكومية أو ما يرتبط بالأمن القومي. ومع ذلك، فإنه دعا إلى توخي الحذر خلال عمليات شراء الأجهزة، حيث يمكن الكشف عن هذه الهجمات عبر تفريغ محتوى الذاكرة وتحليله باستخدام أدوات مفتوحة المصدر مثل “Kraftdinner”، التي سيُقدمها خلال المؤتمر كوسيلة لكشف وجود هذه البرمجيات دون الاعتماد على إشارات إنذار تقليدية.
