Научно-исследовательское подразделение GReAT в «Лаборатории Касперского» вскрыло беспрецедентную кампанию по шпионажу, которая иногда предусматривала даже внедрение spyware в прошивки жёстких дисков разных производителей, а также «прослушку» компьютерных сетей в Иране, России, Пакистане и Китае. Результаты исследования, фрагменты вредоносного кода и его анализ представлены в подробном отчёте и дополнительном файле с вопросами и ответами (44 стр.).

005

На презентации результатов исследования вчера на конференции в Мексике представители «Лаборатории Касперского» назвали автора зловреда — так называемую группу Equation. «ЛК» прямо не указывает на происхождение злоумышленника, но зато приводит доказательства, что группа Equation связана с разработчиками червя Stuxnet, автор которого хорошо известен.

004

Отдельные импланты Equation внедрялись прямо в прошивки HDD, так что были недосягаемы для антивирусных продуктов. «Касперский» подчеркнул ещё несколько особенностей Equation: 1) шпионские инструменты иногда незаметно копировали с компьютера жертвы ключи шифрования, чтобы расшифровывать защищённый контент; 2) многие инструменты были созданы для работы на компьютерах, отключённых от Сети (air gap осуществлялся модулем Fanny через флэшки и стандартные уязвимости).

Представители «ЛК» сказали, что из всех хакерских групп, деятельность которых они отслеживают в интернете, группа Equation — самая продвинутая. К тому же, она действует с 2001 года. Есть косвенные улики, что группа существует и вовсе с 1996 года, то есть почти два десятилетия.

003

Внедрение закладок производилось в жёсткие диски Seagate, Western Digital, Toshiba, Maxtor, IBM и 6 других производителей (всего 12 «категорий» HDD). За перепрограммирование прошивки в наборе инструментов Equation отвечал модуль nls_933w.dll. Модуль также обеспечивал доступ к нескольким скрытым секторам на HDD.

Специалисты GReAT подчёркивают, что внедрение закладок в HDD встречалось крайне редко. Вероятно, АНБ оставляло этот метод только для наиболее важных целей.

Бывший сотрудник АНБ заявил Reuters, что выводы «Касперского» — верны. По его словам, нынешние сотрудники агентства оценивают эти шпионские программы так же высоко как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала ценный способ сокрытия шпионских программ в жёстких дисках, но заявил, что не знает, какие шпионские задачи им отводились.

Western Digital, Seagate и Micron заявили, что ничего не знают об этих шпионских модулях и не предоставляли Агентству национальной безопасности США исходный код программного обеспечения своей продукции. Toshiba, Samsung и IBM отказались комментировать расследование «Касперского».



48 комментариев

  1. 17.02.2015 at 10:24

    Лично мне боятся нечего, что украдут что-то, но напрягает…..

  2. 17.02.2015 at 10:25

    По крайней мере спецы из группы Equation могут собой гордиться: о них заговорили 🙂

  3. 17.02.2015 at 11:06

    Бодрячком «ЛК» Чисто ради интереса. Случаем не с Сноуден слил инфу о такой возможности. А вы лишь расковыряли ее..?

  4. 17.02.2015 at 11:23

    >Ничего не знают
    Приказано отрицать?
    >вскрыло беспрецедентную кампанию по шпионажу
    Пусть в паблик выложат всё, что нарыли. Или они это для ФСБ и СВР поберегли?

  5. 17.02.2015 at 11:46

    Параноить среднестатистическому пользователю не о чем. Для всех остальных существует TAILS.

    • 21.02.2015 at 02:56

      TAILS может не помочь, если диск не отключён физически.

      • 21.02.2015 at 11:24

        Tails , батенька, по умолчанию вообще никак не задействует жесткие диски. Совсем параноики пусть выдергивают шлейфы.

    • 01.03.2015 at 10:14

      У меня компьютер заражён этим вирусом : 3 внутренних винчестера, 3 внешних винчестера, две флешки, 5 карт памяти от телефонов , фотоаппарата и видеокамеры. И их нельзя подключать к чистому компьютеру — он будет заражён.
      Фирма в которой я пробовал очистить винчестеры сейчас заражает компьютеры клиентов.
      И это не фантазии!!! Вы хоть понимаете масштаб проблемы ???!!!
      А мой компьютер почти гора железа. И сколько данных с 2008 года мне пришлось переписывать на DVD. Да и на компьютере нормально нельзя работать стало. После моих попыток стирания винчестеров десятками программ (2 месяца безрезультатной переписки с Касперским и собственных попыток) вирус словно озверел — видимо что-то всё-же в нём повредилось. Жрёт оперативную память, тормозит доступ на винчестеры, дублирует процессы…
      Когда столкнётесь с такой проблемой — поймёте.

      • 01.03.2015 at 11:50

        Пользуйтесь никсами, батенька, выставляйте правильно права, и не пользуйтесь продукцией главного компаньона АНБ — Мелкософт. Из моей практики, системы юзверей специально заражаются как испытательный полигон, но только тех кто не хочет покупать лицензию, и пользуется всевозможными активаторами. В ОС от MS полно бэкдоров, о которых знают и спецслужбы и , в первую очередь, сами мелкомягкие. Если вы думаете что MS не видит крякнутые системы, то ошибаетесь. Так что за все нужно платить, прямо или косвенно. ИМХО

        • 01.03.2015 at 11:53

          Для тех кто не в курсе в далеких 90х ФСБ разрешило заход этой оси на наш рынок, только при условии, что будут раскрыты все исходные коды.

  6. 17.02.2015 at 11:49

    Эту инфу уже давно сноуден выложил, жук называется IRATEMONK

  7. 17.02.2015 at 12:51

    «самая продвинутая из них» — в контексте предложения «из них» — лишнее.

  8. 17.02.2015 at 12:59

    а чому України немає?

  9. 17.02.2015 at 13:49

    Теперь Касперский будет еще и удалять прошивки винтов))) Вот это пиар я понимаю

  10. 17.02.2015 at 23:20

    я так понял, в касперыче ещё не написали детектор и фикс?

  11. 18.02.2015 at 11:32

    Неизвестные разместили объявление о продаже Кремля от имени мэра Свердловска.

    На сайте госторгов России появилась информация о продаже Кремля.

    «Нежилое кирпичное трехэтажное здание, 1787 года постройки, площадью
    21289,9 кв. м, кадастровый номер: 77:01:0001001:1298, расположено по
    адресу: г. Москва, Кремль, д. Б/Н, корп. 1. Бывшая рабочая резиденция
    президента Российской Федерации В. В. Путина. Здание находится в
    отличном состоянии, после реставрации, оборудовано системой охраны и
    спецсвязи. Два подземных этажа. Удобная охраняемая парковка. Срочная
    продажа в связи с нехваткой средств для помощи «Новороссии»

    вот как пример — применения высокоинтеллектуальных способностей ))))))) Устали наверное телефоны на гейсайтах постить, так начали Лендвижимость толкать.?!*

  12. 18.02.2015 at 14:35

    А по моему это все полная лажа. Касперский — Пиарится. вот и все! И ничего они там не нашли в коде прошивок для винтов. Ибо сие есть БРЕД. Еще пусть напишут, что винчестер сам собой включался и отсылал мегабиты информации, куда то там по интернету — Ага так мы и поверили…

    • 18.02.2015 at 15:32

      А по моему это все полная лажа. Касперский — Пиарится. вот и все!

      Вообще всё, что Вы вокруг себя видите и слышите, можете почувствовать или вкусить — на самом деле абсолютно полная лажа. Ничего нет. Всё создано матрицей. И лишь затем, что кто-то пиарится. Регулярно размышляйте на эту тему.

    • 19.02.2015 at 10:09

      Стесняюсь спросить, но Вы хотя бы отчёт по ссылке из статьи читали?

  13. 18.02.2015 at 19:37

    Предлагаю скинуться всем миром и набыдлокодить свою свободную прошивку с блекджеком и … и продавать потом прошитые ей винты с наценкой. Бабла косанем xD

  14. 18.02.2015 at 21:33

    Пипипипипиар. Лично мое мнение — пострадали те, кто лечил свои винтяки всякими прошивками «для отключение парковки головок»

  15. 18.02.2015 at 21:35

    Пипипиар. Подозреваю, что пострадали те, кто лечил свои винтяки всякими прошивками «для отключений парковки головок», и тд.

  16. 18.02.2015 at 21:39

    Скорей всего китайцы заклепали)) У них талант к такому

    • 19.02.2015 at 16:45

      У них талант продать комп с предустановленным трояном и поддельными сертификатами и сказать, что у них всё законно. А до винтов они доберутся, но пока это не их уровень потому, что они все халтурщики.

  17. 19.02.2015 at 11:07

    Производители скорее всего действительно не в курсе. Потому что для большинства компаний прошивки клепали люди со стороны т.е. фирмы со стороны. Которых сейчас просто не существует. И кто знает, может это были просто ширмы (от АНБ), а производители естественно об этом знать не знали.

  18. 19.02.2015 at 13:57

    Да-да, Касперский и ест самый первый имплант Equation))))).

  19. 19.02.2015 at 14:28

    Вы сказали: «Производители скорее всего действительно не в курсе. Потому что для большинства компаний прошивки клепали люди со стороны т.е. фирмы со стороны.»
    Это глупость глупая… Как я могу доверить разоработку какого-то модуля кому-то и не перепроверть?! Вот вы Доверили обои поклеить строителям, и чо, потом с закрытыми глазами платите и принимаете товар?

    • 21.02.2015 at 14:01

      кому есть чё скрывать — Truecrypt раздел (скрытый в разделе с основной ОС), и никакой код в прошивке винта не расшифрует ключи.

Оставить мнение