Шпионский вирус АНБ США внедрен в винчестеры

Агентство национальной безопасности США научилось прятать шпионское программное обеспечение в зонах жестких дисков, защищенных от удаления и форматирования. Речь идет о дисках крупнейших производителей, что теоретически позволяет спецслужбе незаметно считывать данные с большинства используемых в мире компьютеров, передает Reuters. Речь идет об устройствах, поставляемых как минимум с 2001 года. Изучение отчета «Лаборатории Касперского» показало, что в список продуктов, подверженных заражению, входят как классические жесткие диски, так и SSD — накопители на флеш-памяти.

Новые шпионские программы были обнаружены российской «Лабораторией Касперского». Разработчик антивирусов утверждает, что выявил инфицированные подобным методом компьютеры в 30 странах. На первом месте в этом списке он назвал Иран, затем Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир. Целью слежки, как уточнила лаборатория, были правительственные и военные учреждения, телекоммуникационные и энергетические компании, банки, атомные исследовательские центры, СМИ и исламские активисты. Хотя инициаторы шпионажа могли технически получить доступ ко множеству компьютеров, на самом деле они выбрали в «жертву» ограниченное количество — тех, кем они непосредственно интересовались.

Группа хакеров, осуществлявших эту атаку названа Equation group. Российская фирма прямо не назвала, какая именно страна ответственна за подобный шпионаж, однако уточнила, что эта схема тесно связана с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране.

Бывший сотрудник АНБ подтвердил информагентству, что анализ «Лаборатории Касперского» является правильным. Другой бывший разведчик, в свою очередь, сообщил, что АНБ действительно разработало технологию сокрытия шпионских программ в жестких дисках.

Согласно выводам исследования, вредоносное ПО внедряется в прошивку диска, что позволяет вирусу сохраняться на нем, даже если будут удалены все файлы и выполнено форматирование. По ценности для хакера такой метод внедрения вируса стоит на втором месте, уступая только заражению BIOS.

Как отмечают исследователи, перед программой, внедряющейся в компьютеры подобным образом, уязвимы жесткие диски более чем десятка ведущих компаний, охватывающих практически весь рынок. Речь идет о таких известных брендах, как Western Digital, Seagate Technology, Toshiba, IBM, Micron Technology и Samsung Electronics.

Компании Western Digital, Seagate и Micron сообщили Reuters, что ничего не знают о шпионских программах в своей продукции. Toshiba и Samsung отказались от комментариев, а IBM не ответила на запрос. Western Digital подчеркнула в комментарии, что на даный момент внимательно изучает отчет «Лаборатории Касперского».

Источник материала
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@newru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

Комментарии

комментария 42

  1. SNAIL:

    Цэтато : Western Digital подчеркнула в комментарии, что на даный момент внимательно изучает отчет «Лаборатории Касперского».

    Ога ога — па шустрику переписывают пару начальных байт кода инженерки , щитобы Косперзге повторно ничавой ни нашоль.

    ЗЫ: биллятьиншаллаепстудэй ! Теперь АНБ знает что у меня в папке «Фото_ДР_Тещи» на самом деле все фильмы студии Браззерс ???!!!

  2. Mr.aerix:

    Тут вот в чём прикол… если Кашпировские обнародовали сей факт, значит Российские службы в курсе давно. а соответственно, скорее всего так же успешно и используют. против «друзей». объем прошивки HDD не так велик, 3-7 мегабайт, чтобы в нем запрятать суперпрогу с невозможностью её найти. Скорее всего, зверя уже разобрали по байтам, и так же пользуются.

    • dasty011:

      Было бы смешно не воспользоваться.
      А обнародование лишь подчёркивает факт утери актуальности.

  3. borita:

    Предвосхищаю «плач Ярославны » на тему пользования телефоном, и всеми гаджетами , Незнайки ( айфоныча ) » а я и подумать не мог » , и большинства жителей » солнечного города » :-)

  4. Narkom:

    Прошу прощения, но как-то всё это мутновато… Может быть, ощущение «мутности» возникает из-за отсутствия внятного описания механизма «шпионажа».
    Запихнуть любой код в firmware HDD , или в условно-недоступные для ОСи области — да не вопрос! Ну а дальше-то что?! Каким образом якобы «украденная» с диска секретная информация будет попадать в грязные лапы супостата?
    Из всего этого следует вывод, что для реализации шпионской деятельности все необходимые «закладки» уже давно были внедрены не только в ОСь, но и в BIOS.
    Кстати, если мне не изменяет память — упоминаемый в статье вирус Stuxnet был «заточен» конкретно под системы автоматизации технологического процесса, построенные на базе программируемых логических контроллеров (PLC) семейства Simatic S7-400 (Siemens) и SCADA-систем WinCC. Путём внедрения в управляющую программу PLC «левых» функциональных блоков и блоков данных, перехватывалось управление скоростью вращения центрифуг (разгон «вразнос»), что приводило к выходу их из строя.
    Так что, как говорил Станиславский — «Не верю!» Пока…

    • Андрей:

      Перейдите на источник, там есть ссылка на «отчет». Вот в этом «отчете» описано поподробнее про заразу.

      А смысл модификации firmware, имхо, не дать почитать некоторые области винта особо любопытствующим. Что-то вроде механизма самозащиты.

      • Mr.aerix:

        ну не дать почитать не получится. ибо PC3000 2го поколения вообще пофигу что читать. если инфа (любая) физически на винте и в его контроллере есть — она ее достанет. а там уже дело исключительно в разборе алгоритмов прошивки.

        • Андрей:

          Цитата из статьи «Equation group: questions and answers.» лаборатории Касперского.
          «We were able to recover two HDD firmware reprogramming modules from the EQUATIONDRUG and GRAYFISH platforms. The EQUATIONDRUG HDD firmware reprogramming module has version 3.0.1 while the GRAYFISH reprogramming module has version 4.2.0. These were compiled in 2010 and 2013, respectively, if we are to trust the PE timestamps.
          The EQUATION group HDD firmware reprogramming plugin has the internal ID 80AA, which is a unique number in the groups’ plugin ID table. This allows other plugins to identify and use it as required. Both 32- and 64-bit versions of the plugin were found. The plugin supports two main functions: reprogramming the HDD firmware with a custom payload from the EQUATION group, and providing an API into a set of hidden sectors (or data storage) of the hard drive. This achieves several important things:
          • Extreme persistence that survives disk formatting and OS reinstall.
          • An invisible, persistent storage hidden inside the hard drive.»

  5. FLY_Slim Jr.:

    Это нормально.
    Если брать в счет недокументированые особенности процессоров семейства Интел — то там не нужно даже прошивку ЖД плющить — достаточно знать команды проца чтоб слить инфу с системы.

    • Андрей:

      А можно ссылочку, чтоб почитать поподробнее.

      • FLY_Slim Jr.:

        ссылочку я вам не дам, сами знаете почему, а вот поискать по вот такому запросу — Intel AMT backdoor — вполне можете сами и сложить 1+1

        • Андрей:

          Почитал. Процессор не причем. На мамку припаивают сопроцессор со встроенной дырявой осью. Вокруг нее вопли про черный вход. Возможность отключения зависит от биоса. Если за натом, то не подключится даже через дырки.

          • FLY_Slim Jr.:

            ой, да ладно.
            Нынче в биос запихать свистульку при наличии дырявой ОС — два пальца.
            Просто нужно знать, что и куда писать.
            Вы так быстро разобрались в проблеме — прямо спец, тут умы бьются со времен 8080.
            Надо же.
            И чего это вы до сих пор не в Интел?!
            А процессор как раз причем. И возможность удаленного управления не исключена — не думаю, что производитель чипсета, и самого камня не учел этих возможностей. В свое время помнится не одна СКАДа упала по причине того, что хаккерам удалось через биос добраться до мякотки. Возможностей — тьма. Просто надо знать направление поиска.

            • Андрей:

              Я вообще-то говорю про то, что АМТ — это еще одна система удаленного управления. Да дырявая. Да можно использовать для противоправных действий. Но это не бэкдор.

              • FLY_Slim Jr.:

                Ну, а что мешает пр помощи АМТ запихать нечто веселое?!

                • Андрей:

                  Её отключенное состояние, нахождение за натом, отсутствие сведений о конфигурации. Для начала же надо знать хотя бы сокет, куда коннектиться.

                  А вот если зараза уже на машине и достаточно продвинутая, чтоб работать с биосом, тогда да, можно использовать как инструмент управления. Причем практически не обнаруживаемый средствами операционной системы и средствами защиты. Можно только констатировать факт, что система включена.

                  • FLY_Slim Jr.:

                    WOL вам не знакома?
                    По такому принципу работает множество известных нам приблуд.
                    А сколько неизвестных??
                    Для которых достаточно послать некий пакет — на который НАТ просто не обратит внимания.

                    • Proper:

                      Прикол в том, что трафик АМТ на самом компе обнаружить и отфильтровать невозможно — он снимается на уровне сетевого интерфейса (для чего интелу, разумеется, нужны определенные чипы сетевых интерфейсов, умеющие это — ну так именно они и встроены в вашу плату).

                      «Аппаратным» файрволлом, стоящим в сетевом проводе ДО компа, трафик АМТ теоретически обнаружить можно — но он маскируется под обычные широковещательные пакеты, которых в офисной сети всегда дофига. Зарезать их можно — но у вас перестанет работать куча полезных сервисов. А самое главное — это бесполезно, поскольку есть обходная дырка через Onboard WiFi.

                    • Gena:

                      И, вообще, переходим на полёвку проводную, голубей и фельдегерей! :)

                    • FLY_Slim Jr.:

                      на современных компах мало чего можно увидеть, а еще меньше чего отключить.
                      особенно, если по просто тупо не запускается , если не гикнет на сервер хозяина, что оно готово к работе и получит ответ.

                  • Proper:

                    Товарищ, Intel AMT не отключается в принципе. Как и GPS трекинг в ипхонах. То, что вы ставите галочку в сетапе биоса — означает лишь, что отключается доступ к этой функции ЛИЧНО ВАМ через объявленное Intel базовое API. Сама же система продолжает работать, и к ней есть доступ.

                    Я долгое время никак не мог понять — почему Интел с маниакальной настойчивостью ставит в десктопные платы WiFi интерфейс, причем зачастую с антенной прямо в печати платы — оно же работает внутри железного корпуса крайне хреново. И вот оказалось, что AMT работает через этот родной WiFi всегда и неотключаемо, и класть оно хотело на ваши файрволлы. Более того — все машины с поддержкой AMT с родным WiFi могут служит промежуточными WiFi ретрансляторами, и там даже протокольчик есть для дискаверинга доступных точек и построения через них маршрута.

                    И да — всё это гумно работает даже тогда, когда вы якобы выключили компьютер. Потому что все элементы АМТ находятся под Standby питанием.

                    Вы же заметили, что большинство современных компов (и практически 100% брендовых компов) давно не имеют аппаратного выключения питания? Это жу-жу неспроста. Ну а для ноутбуков вам не поможет даже выдергивание вилки из розетки — аккум-то работает. И внимание, вопрос: сколько современных ноутбуков имеют легкосъемную батарею? Не дополнительную съемную — а именно основную батарею съемную, как делали раньше? Это жу-жу тоже неспроста.

                    • Henren:

                      Антенну выпаять нафиг.

                    • Андрей:

                      Думаю, что превратить корпус компа в антенну для них не проблема.
                      Хоть кастрюлей накрывай.

                    • FLY_Slim Jr.:

                      во во, о чем я и говорю.
                      хрень по сути невырубаемая, если не повредить девайс по сути.
                      А батарей и вправду такого плана уже практически нет.

                    • Hilur:

                      Дома батарею ноута, зарядив до 100%, снимаю всегда. Днём ноут иногда стоИт под Standby-ем, но на ночь обязательно отключаю клавишей удлинителя. И ноут, и стационарный, и телевизор, и т.п. всегда(!) запитаны у меня через персональные механически выключаемые удлинители.

  6. Proper:

    >>Антенну выпаять нафиг.

    Вы невнимательно читаете. Антенна сделана прямо печатью самой платы.

    Разумеется, если задаться целью — ее можно отрезать или иным образом заглушить, но это потеря гарантии, и многие ли будут этим заморачиваться?

    • Henren:

      Да, в этом случае проще ЛГШ-702 включить.

      • FLY_Slim Jr.:

        да, им даже частота излучения микроволновки бытовой забивается….хххх

    • Aska:

      А можно впечатать между слоями, тогда вообще не достать.

      • FLY_Slim Jr.:

        в некоторых случаях так и делают, но не всегда — помех много.

  7. Proper:

    >>особенно, если по просто тупо не запускается , если не гикнет на сервер хозяина, что оно готово к работе и получит ответ

    Там всё не так. AMT всегда работает — но его обслуживает отдельная аппаратная система, там даже процессорное ядро своё, так что со стороны юзерской ОС вы ничего не обнаружите. Наоборот — с точки зрения процессора Intel, ваш BIOS и ваша юзерская ОС запущены в виртуальном контуре, супервайзер которого находится в AMT, поэтому абсолютно всё, что делает ваша ОС — может быть перехвачено, проконтролировано и подменено.

    Надо заметить, что эта система логично выросла из практики Интел патчить ошибки процессора в процессе его эксплуатации — сначала Интел использовал для этого запасные загружаемые области микрокода, а потом перешел на вот такую систему — с аппаратной виртуализацией всей исполняемой системы. Естественно, в NSA мигом собразили, какие это дает возможности — ну и далее спецификации делались с учетом их пожеланий.

    • FLY_Slim Jr.:

      Ну, принцип понятен.
      Стандартная ОС (не важно какая) ставится на якобы (пустое) железо.
      Вся фенька в том, что — все это условно. Не важно какая ось стоит и стоит ли вообще — АМТ работеет всегда, если для этого достаточно, или соблюдено нужное количество компонентов железа.
      т.е. проц, память, чипсет. hdd не важен.

      • Proper:

        Ага. Поскольку проц Интел и чипсет внезапно тоже (чо там у нас с альтернативными чипсетами?), а память для запуска АМТ есть прямо там же — АМТ всегда запускается, даже если вы забыли вставить модули памяти и видяху.

  8. Aska:

    Я так понимаю с АМД такая петрушка, бо у них тоже есть похожая система.

    • Proper:

      Естественно. И это жу-жу тоже неспроста — казалось бы, если АМТ собственный вывих Интела, то с чего бы его единственный конкурент резко кинулся делать такую же систему, причем не опасаясь, что Интел его задрючит исками в судах?

  9. Mr.aerix:

    похожая картина и с гуглофонами. внезапно. при «типа отключенных» жпс и вайфай месторасположение смарта отслеживается на раз-два-нефиг, если есть рядом хоть одна, даже скрытая, вайфай сеть. само собой, если известен IMEI девайса. + к этому, Нвидиа пошла по стопам Интела, и гуглофоны с Нвидией обладают не просто дырками, а воротами для удаленного доступа.
    в общем, единственный вариант защиты — Sony Ericsson k750, с модификатом шифрации связи + хммм… а вот на счет компьютерных реально защищенных платформ.. я даже не в курсе, что можно придумать.

    • Proper:

      Ну с гуглофонами-то всё очевидно.

      Но у них есть нюанс — аппаратная платформа можеть быть насквозь китайской (медиатек, например), поэтому все закладки сделаны в софте. А софт, внезапно, с открытым кодом — в отличие от. Поэтому прятать там что-то очень трудно. Да, жизнь это боль.

      Соответственно полно китайских перекрученных пост-Андроидов — Smartisan OS, Aliyun OS и иже с ними, и есть даже совсем чистая, с листа разработанная универсальная COS (China Operating System) для смартфонов, планшетов и настольных систем.

      • zu:

        А как насчет китайских аппаратных закладок?)

        • Proper:

          Ну а как без них — есть, конечно. Наверняка есть.

          Но я-то говорил о западных закладках. Которые есть в гуглофонах, но по описанной причине (необходимость работать на китайской платформе) вынужденно сделаны чисто программными. А это резко облегчает дело — тем более что исходники андроида вплоть до 4.4 доступны вполне официально, и они нормально собираются в рабочую систему.

  10. dasty011:

    Прочёл, доставило, продолжайте.
    А по теме: вы не в теме.
    Интервики поменьше читайте, побольше пользуйтесь измерительными приборами и межушным ганглием.

    • Mr.aerix:

      ну если уж на то пошло, то на хабре эта тема обмусолена до дыр. бери да читай.

      • dasty011:

        Мне хабр побоку. На моей работе придурков, обсуждающих работу и свойства установки, которую не они разрабатывали, чуть более, чем все.