Шпионский вирус АНБ США внедрен в винчестеры

Агентство национальной безопасности США научилось прятать шпионское программное обеспечение в зонах жестких дисков, защищенных от удаления и форматирования. Речь идет о дисках крупнейших производителей, что теоретически позволяет спецслужбе незаметно считывать данные с большинства используемых в мире компьютеров, передает Reuters. Речь идет об устройствах, поставляемых как минимум с 2001 года. Изучение отчета «Лаборатории Касперского» показало, что в список продуктов, подверженных заражению, входят как классические жесткие диски, так и SSD — накопители на флеш-памяти.

Новые шпионские программы были обнаружены российской «Лабораторией Касперского». Разработчик антивирусов утверждает, что выявил инфицированные подобным методом компьютеры в 30 странах. На первом месте в этом списке он назвал Иран, затем Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир. Целью слежки, как уточнила лаборатория, были правительственные и военные учреждения, телекоммуникационные и энергетические компании, банки, атомные исследовательские центры, СМИ и исламские активисты. Хотя инициаторы шпионажа могли технически получить доступ ко множеству компьютеров, на самом деле они выбрали в «жертву» ограниченное количество — тех, кем они непосредственно интересовались.

Группа хакеров, осуществлявших эту атаку названа Equation group. Российская фирма прямо не назвала, какая именно страна ответственна за подобный шпионаж, однако уточнила, что эта схема тесно связана с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране.

Бывший сотрудник АНБ подтвердил информагентству, что анализ «Лаборатории Касперского» является правильным. Другой бывший разведчик, в свою очередь, сообщил, что АНБ действительно разработало технологию сокрытия шпионских программ в жестких дисках.

Согласно выводам исследования, вредоносное ПО внедряется в прошивку диска, что позволяет вирусу сохраняться на нем, даже если будут удалены все файлы и выполнено форматирование. По ценности для хакера такой метод внедрения вируса стоит на втором месте, уступая только заражению BIOS.

Как отмечают исследователи, перед программой, внедряющейся в компьютеры подобным образом, уязвимы жесткие диски более чем десятка ведущих компаний, охватывающих практически весь рынок. Речь идет о таких известных брендах, как Western Digital, Seagate Technology, Toshiba, IBM, Micron Technology и Samsung Electronics.

Компании Western Digital, Seagate и Micron сообщили Reuters, что ничего не знают о шпионских программах в своей продукции. Toshiba и Samsung отказались от комментариев, а IBM не ответила на запрос. Western Digital подчеркнула в комментарии, что на даный момент внимательно изучает отчет «Лаборатории Касперского».

Источник материала
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@proru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

Читайте также:

Sort by:   newest | oldest
SNAIL
SNAIL

Цэтато : Western Digital подчеркнула в комментарии, что на даный момент внимательно изучает отчет «Лаборатории Касперского».

Ога ога — па шустрику переписывают пару начальных байт кода инженерки , щитобы Косперзге повторно ничавой ни нашоль.

ЗЫ: биллятьиншаллаепстудэй ! Теперь АНБ знает что у меня в папке «Фото_ДР_Тещи» на самом деле все фильмы студии Браззерс ???!!!

Mr.aerix
Mr.aerix

Тут вот в чём прикол… если Кашпировские обнародовали сей факт, значит Российские службы в курсе давно. а соответственно, скорее всего так же успешно и используют. против «друзей». объем прошивки HDD не так велик, 3-7 мегабайт, чтобы в нем запрятать суперпрогу с невозможностью её найти. Скорее всего, зверя уже разобрали по байтам, и так же пользуются.

dasty011
dasty011

Было бы смешно не воспользоваться.
А обнародование лишь подчёркивает факт утери актуальности.

borita

Предвосхищаю «плач Ярославны » на тему пользования телефоном, и всеми гаджетами , Незнайки ( айфоныча ) » а я и подумать не мог » , и большинства жителей » солнечного города » 🙂

Narkom
Narkom

Прошу прощения, но как-то всё это мутновато… Может быть, ощущение «мутности» возникает из-за отсутствия внятного описания механизма «шпионажа».
Запихнуть любой код в firmware HDD , или в условно-недоступные для ОСи области — да не вопрос! Ну а дальше-то что?! Каким образом якобы «украденная» с диска секретная информация будет попадать в грязные лапы супостата?
Из всего этого следует вывод, что для реализации шпионской деятельности все необходимые «закладки» уже давно были внедрены не только в ОСь, но и в BIOS.
Кстати, если мне не изменяет память — упоминаемый в статье вирус Stuxnet был «заточен» конкретно под системы автоматизации технологического процесса, построенные на базе программируемых логических контроллеров (PLC) семейства Simatic S7-400 (Siemens) и SCADA-систем WinCC. Путём внедрения в управляющую программу PLC «левых» функциональных блоков и блоков данных, перехватывалось управление скоростью вращения центрифуг (разгон «вразнос»), что приводило к выходу их из строя.
Так что, как говорил Станиславский — «Не верю!» Пока…

Андрей

Перейдите на источник, там есть ссылка на «отчет». Вот в этом «отчете» описано поподробнее про заразу.

А смысл модификации firmware, имхо, не дать почитать некоторые области винта особо любопытствующим. Что-то вроде механизма самозащиты.

Mr.aerix
Mr.aerix

ну не дать почитать не получится. ибо PC3000 2го поколения вообще пофигу что читать. если инфа (любая) физически на винте и в его контроллере есть — она ее достанет. а там уже дело исключительно в разборе алгоритмов прошивки.

Андрей

Цитата из статьи «Equation group: questions and answers.» лаборатории Касперского.
«We were able to recover two HDD firmware reprogramming modules from the EQUATIONDRUG and GRAYFISH platforms. The EQUATIONDRUG HDD firmware reprogramming module has version 3.0.1 while the GRAYFISH reprogramming module has version 4.2.0. These were compiled in 2010 and 2013, respectively, if we are to trust the PE timestamps.
The EQUATION group HDD firmware reprogramming plugin has the internal ID 80AA, which is a unique number in the groups’ plugin ID table. This allows other plugins to identify and use it as required. Both 32- and 64-bit versions of the plugin were found. The plugin supports two main functions: reprogramming the HDD firmware with a custom payload from the EQUATION group, and providing an API into a set of hidden sectors (or data storage) of the hard drive. This achieves several important things:
• Extreme persistence that survives disk formatting and OS reinstall.
• An invisible, persistent storage hidden inside the hard drive.»

FLY_Slim Jr.

Это нормально.
Если брать в счет недокументированые особенности процессоров семейства Интел — то там не нужно даже прошивку ЖД плющить — достаточно знать команды проца чтоб слить инфу с системы.

Андрей

А можно ссылочку, чтоб почитать поподробнее.

FLY_Slim Jr.

ссылочку я вам не дам, сами знаете почему, а вот поискать по вот такому запросу — Intel AMT backdoor — вполне можете сами и сложить 1+1

Андрей

Почитал. Процессор не причем. На мамку припаивают сопроцессор со встроенной дырявой осью. Вокруг нее вопли про черный вход. Возможность отключения зависит от биоса. Если за натом, то не подключится даже через дырки.

FLY_Slim Jr.

ой, да ладно.
Нынче в биос запихать свистульку при наличии дырявой ОС — два пальца.
Просто нужно знать, что и куда писать.
Вы так быстро разобрались в проблеме — прямо спец, тут умы бьются со времен 8080.
Надо же.
И чего это вы до сих пор не в Интел?!
А процессор как раз причем. И возможность удаленного управления не исключена — не думаю, что производитель чипсета, и самого камня не учел этих возможностей. В свое время помнится не одна СКАДа упала по причине того, что хаккерам удалось через биос добраться до мякотки. Возможностей — тьма. Просто надо знать направление поиска.

Андрей

Я вообще-то говорю про то, что АМТ — это еще одна система удаленного управления. Да дырявая. Да можно использовать для противоправных действий. Но это не бэкдор.

FLY_Slim Jr.

Ну, а что мешает пр помощи АМТ запихать нечто веселое?!

Андрей

Её отключенное состояние, нахождение за натом, отсутствие сведений о конфигурации. Для начала же надо знать хотя бы сокет, куда коннектиться.

А вот если зараза уже на машине и достаточно продвинутая, чтоб работать с биосом, тогда да, можно использовать как инструмент управления. Причем практически не обнаруживаемый средствами операционной системы и средствами защиты. Можно только констатировать факт, что система включена.

FLY_Slim Jr.

WOL вам не знакома?
По такому принципу работает множество известных нам приблуд.
А сколько неизвестных??
Для которых достаточно послать некий пакет — на который НАТ просто не обратит внимания.

Gena

И, вообще, переходим на полёвку проводную, голубей и фельдегерей! 🙂

FLY_Slim Jr.

на современных компах мало чего можно увидеть, а еще меньше чего отключить.
особенно, если по просто тупо не запускается , если не гикнет на сервер хозяина, что оно готово к работе и получит ответ.

Aska
Aska

Я так понимаю с АМД такая петрушка, бо у них тоже есть похожая система.

Mr.aerix
Mr.aerix

похожая картина и с гуглофонами. внезапно. при «типа отключенных» жпс и вайфай месторасположение смарта отслеживается на раз-два-нефиг, если есть рядом хоть одна, даже скрытая, вайфай сеть. само собой, если известен IMEI девайса. + к этому, Нвидиа пошла по стопам Интела, и гуглофоны с Нвидией обладают не просто дырками, а воротами для удаленного доступа.
в общем, единственный вариант защиты — Sony Ericsson k750, с модификатом шифрации связи + хммм… а вот на счет компьютерных реально защищенных платформ.. я даже не в курсе, что можно придумать.

dasty011
dasty011

Прочёл, доставило, продолжайте.
А по теме: вы не в теме.
Интервики поменьше читайте, побольше пользуйтесь измерительными приборами и межушным ганглием.

Mr.aerix
Mr.aerix

ну если уж на то пошло, то на хабре эта тема обмусолена до дыр. бери да читай.

dasty011
dasty011

Мне хабр побоку. На моей работе придурков, обсуждающих работу и свойства установки, которую не они разрабатывали, чуть более, чем все.