Η Υπηρεσία Εθνικής Ασφάλειας της Αμερικής (NSA) κατάφερε αν μολύνει το firmware σκληρών δίσκων με spyware για να διαδώσει το Stuxnet. Η ενέργεια αυτή της υπηρεσίας έγινε τουλάχιστον πριν από 14 χρόνια, σύμφωνα με μια ανάλυση από την Kaspersky Labs.
Η εκστρατεία έχει μολύνει πιθανώς δεκάδες χιλιάδες υπολογιστές σε παρόχους τηλεπικοινωνιών, κυβερνήσεις, στρατούς, επιχειρήσεις κοινής ωφέλειας, καθώς και εταιρείες μέσων μαζικής ενημέρωσης, μεταξύ άλλων, σε περισσότερες από 30 χώρες.
Η NSA φέρεται να έχει παραβιάσει το firmware σκληρών δίσκων από πάρα πολλά κορυφαία εμπορικά σήματα, όπως της Seagate, Western Digital, η IBM, Toshiba, Samsung και Maxtor, όπως αναφέρουν οι ερευνητές της Kaspersky.
Η ανάλυση της Kaspersky αναφέρει ότι η NSA ανακάλυψε μια ευπάθεια για την μόλυνση του firmware του σκληρού δίσκου με ένα malware που είναι γνωστό μόνο ως nls_933w.dll και είναι ικανό να υπάρχει ακόμα και μετά από format, για να ξανά-μολύνει τα στοχοθετημένα συστήματα.
Οι ερευνητές δήλωσαν ότι μια ομάδα της NSA που ονομάστηκε ‘The ‘The Equation Group’ ‘ είχε πρόσβαση στον πηγαίο κώδικα των firmware και μπόρεσαν να έχουν το πλήρη έλεγχο για εξ αποστάσεως πρόσβασηστα μολυσμένα μηχανήματα από στόχους υψηλής αξίας.
“Η ομάδα ‘Equation Group’ είναι πιθανώς μια από τις πιο εξελιγμένες ομάδες επίθεσης στον κυβερνοχώρο σε όλο τον κόσμο,” δηλώνει η Kaspersky.
“Είναι ένα εκπληκτικό τεχνικό επίτευγμα και αποτελεί απόδειξη για τις ικανότητες της ομάδας.”
“Για πολλά χρόνια έχουν πραγματοποιήσει πολλές επιθέσεις, όπως με το Stuxnet και με το Flame, και πάντα από θέση υπεροχής, καθώς είχαν πρόσβαση στα exploits νωρίτερα από τους άλλους.”
Η εκστρατεία ονομαζόταν “Death Star” και μπορείτε να διαβάσετε παραπάνω λεπτομέρειες από το PDF.
Η Western Digital ωστόσο, ανακοίνωσε ότι δεν μοιράστηκε τον πηγαίο κώδικα του firmware της με την υπηρεσία. Φυσικά δεν είναι ακόμα γνωστό αν οι υπόλοιποι κατασκευαστές σκληρών δίσκων το είχαν κάνει
Τι μπορούσε όμως να κάνει το trojan:
EQUATIONDRUG – Μια ολύ περίπλοκη πλατφόρμα επίθεσης που χρησιμοποιείται από την ομάδα. Υποστηρίζει ένα σύστημα plugin, η οποία μπορεί να φορτωθεί δυναμικά και να εκφορτωθεί από τους επιτιθέμενους.
DOUBLEFANTASY – Ένα Trojan σε στυλ validator, που είχε σκοπό να επιβεβαιώσει το στόχο και τη προβλεπόμενη χρήση του. Αν ο στόχος επιβεβαιωθεί, αναβαθμίσ=ζεται σε μια πιο εξελιγμένη πλατφόρμα όπως τη EQUATIONDRUG ή τη GRAYFISH.
EQUESTRE – το ίδιο με το EQUATIONDRUG.
TRIPLEFANTASY – Πλήρης-χαρακτηρισμένη backdoor που μερικές φορές χρησιμοποιείται σε συνδυασμό με το GRAYFISH. Μοιάζει με μια αναβάθμιση του DOUBLEFANTASY, και είναι ίσως ένα πιο πρόσφατο πρόγραμμα επικύρωσης.
GRAYFISH – Η πιο εξελιγμένη πλατφόρμα επίθεσης του EQUATION Group. Εδρεύει στο μητρώο, και υποστηρίζεται από ένα bootkit για να τρέχει με το σύστημα εκκίνησης του λειτουργικού.
FANNY – Ένα worm που δημιουργήθηκε το 2008 και χρησιμοποιήθηκε για τη συλλογή πληροφοριών στόχων της Μέσης Ανατολής και της Ασίας. Αναβαθμίζεται πρώτα να DoubleFantasy, και στη συνέχεια σε EQUATIONDRUG.
EQUATIONLASER – Ένα από τα πρώτα εμφυτεύματα της ομάδας EQUATION. Χρησιμοποιήθηκε από το 2001 έως το 2004. Συμβατό με τα Windows 95/98.
