АНБ внедряет жучки в прошивки HDD

Научно-исследовательское подразделение GReAT в «Лаборатории Касперского» вскрыло беспрецедентную кампанию по шпионажу, которая иногда предусматривала даже внедрение spyware в прошивки жёстких дисков разных производителей, а также «прослушку» компьютерных сетей в Иране, России, Пакистане и Китае. Результаты исследования, фрагменты вредоносного кода и его анализ представлены в подробном отчёте и дополнительном файле с вопросами и ответами (44 стр.).

На презентации результатов исследования вчера на конференции в Мексике представители «Лаборатории Касперского» назвали автора зловреда — так называемую группу Equation. «ЛК» прямо не указывает на происхождение злоумышленника, но зато приводит доказательства, что группа Equation связана с разработчиками червя Stuxnet, автор которого хорошо известен.

Отдельные импланты Equation внедрялись прямо в прошивки HDD, так что были недосягаемы для антивирусных продуктов. «Касперский» подчеркнул ещё несколько особенностей Equation: 1) шпионские инструменты иногда незаметно копировали с компьютера жертвы ключи шифрования, чтобы расшифровывать защищённый контент; 2) многие инструменты были созданы для работы на компьютерах, отключённых от Сети (air gap осуществлялся модулем Fanny через флэшки и стандартные уязвимости).

Представители «ЛК» сказали, что из всех хакерских групп, деятельность которых они отслеживают в интернете, группа Equation — самая продвинутая. К тому же, она действует с 2001 года. Есть косвенные улики, что группа существует и вовсе с 1996 года, то есть почти два десятилетия.

Внедрение закладок производилось в жёсткие диски Seagate, Western Digital, Toshiba, Maxtor, IBM и 6 других производителей (всего 12 «категорий» HDD). За перепрограммирование прошивки в наборе инструментов Equation отвечал модуль nls_933w.dll. Модуль также обеспечивал доступ к нескольким скрытым секторам на HDD.

Специалисты GReAT подчёркивают, что внедрение закладок в HDD встречалось крайне редко. Вероятно, АНБ оставляло этот метод только для наиболее важных целей.

Бывший сотрудник АНБ заявил Reuters, что выводы «Касперского» — верны. По его словам, нынешние сотрудники агентства оценивают эти шпионские программы так же высоко как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала ценный способ сокрытия шпионских программ в жёстких дисках, но заявил, что не знает, какие шпионские задачи им отводились.

Western Digital, Seagate и Micron заявили, что ничего не знают об этих шпионских модулях и не предоставляли Агентству национальной безопасности США исходный код программного обеспечения своей продукции. Toshiba, Samsung и IBM отказались комментировать расследование «Касперского».

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.

Комментарии (48)

  • Лично мне боятся нечего, что украдут что-то, но напрягает.....

    • пилять так раздал бы сразу, если что-то имеешь :)

  • По крайней мере спецы из группы Equation могут собой гордиться: о них заговорили :-)

  • Бодрячком "ЛК" Чисто ради интереса. Случаем не с Сноуден слил инфу о такой возможности. А вы лишь расковыряли ее..?

    • Я думаю, что не сноуден. На хакере уже была статья о модификации прошивок.

      • А можно ссылку на статью, пожалуйста?

  • >Ничего не знают
    Приказано отрицать?
    >вскрыло беспрецедентную кампанию по шпионажу
    Пусть в паблик выложат всё, что нарыли. Или они это для ФСБ и СВР поберегли?

    • Лаборатория Касперского частично финансируется этими организациями.

  • Параноить среднестатистическому пользователю не о чем. Для всех остальных существует TAILS.

    • TAILS может не помочь, если диск не отключён физически.

      • Tails , батенька, по умолчанию вообще никак не задействует жесткие диски. Совсем параноики пусть выдергивают шлейфы.

    • У меня компьютер заражён этим вирусом : 3 внутренних винчестера, 3 внешних винчестера, две флешки, 5 карт памяти от телефонов , фотоаппарата и видеокамеры. И их нельзя подключать к чистому компьютеру - он будет заражён.
      Фирма в которой я пробовал очистить винчестеры сейчас заражает компьютеры клиентов.
      И это не фантазии!!! Вы хоть понимаете масштаб проблемы ???!!!
      А мой компьютер почти гора железа. И сколько данных с 2008 года мне пришлось переписывать на DVD. Да и на компьютере нормально нельзя работать стало. После моих попыток стирания винчестеров десятками программ (2 месяца безрезультатной переписки с Касперским и собственных попыток) вирус словно озверел - видимо что-то всё-же в нём повредилось. Жрёт оперативную память, тормозит доступ на винчестеры, дублирует процессы...
      Когда столкнётесь с такой проблемой - поймёте.

      • Пользуйтесь никсами, батенька, выставляйте правильно права, и не пользуйтесь продукцией главного компаньона АНБ - Мелкософт. Из моей практики, системы юзверей специально заражаются как испытательный полигон, но только тех кто не хочет покупать лицензию, и пользуется всевозможными активаторами. В ОС от MS полно бэкдоров, о которых знают и спецслужбы и , в первую очередь, сами мелкомягкие. Если вы думаете что MS не видит крякнутые системы, то ошибаетесь. Так что за все нужно платить, прямо или косвенно. ИМХО

        • Для тех кто не в курсе в далеких 90х ФСБ разрешило заход этой оси на наш рынок, только при условии, что будут раскрыты все исходные коды.

  • Эту инфу уже давно сноуден выложил, жук называется IRATEMONK

  • "самая продвинутая из них" - в контексте предложения "из них" - лишнее.

    • А зачем? у вас и так все открыто для Американской разведки :))
      Чего там говорить. Самый крупный интернет провайдер и то европайская компания.

      • Вы, видимо, знаток. Знаете что, где открыто и кто чем заправляет.

      • Действительно чего там говорить, ведь в раше даже интернет зацензуринен.

      • а какой кстати самый крупный пров?

  • Теперь Касперский будет еще и удалять прошивки винтов))) Вот это пиар я понимаю

  • я так понял, в касперыче ещё не написали детектор и фикс?

Похожие материалы