Выявлено шпионское ПО, скрывающиеся в прошивках жестких дисков

[j2me]

Лаборатория Касперского сообщила (PDF) о выявлении нового класса вредоносного ПО, нацеленного на организацию кибершпионажа и кражу данных пользователей, примечательного глубокой степенью маскировки. Для скрытия компонентов вредоносного ПО применялась техника модификации прошивок жестких дисков Western Digital, Seagate, Samsung, Hitachi, Toshiba, Maxtor и IBM.

Вредоносное ПО поражало только системы на базе платформы Windows и было выявлено на более чем 500 системах в 42 странах. Наиболее активное использование вредоносного ПО зафиксировано в Иране, России, Китае, Сирии и Пакистане. Атакам были подвержены финансовые, правительственные, военные, исследовательские, дипломатические и другие учреждения. Сообщается о нескольких вариантах подобного вредоносного ПО, сборки которых датированы с 2001 по 2011 год. Заражение производится с использование традиционных методов, через автозапуск кода с внешних носителей или через эксплуатацию неисправленных уязвимостей в браузерах и сетевом ПО. После проникновения в систему осуществляется модификация прошивки поддерживаемых жестких дисков, что позволяет скрыть наличие вредоносного кода и организовать его запуск на ранних стадиях загрузки.

Внедрение вредоносного кода ассоциируется с группой Equation, которая связывается с деятельностью Агентства Национальной Безопасности США, но подобная связь основывается лишь на догадках и косвенных данных (например, указывается на использование технологий и методов, схожих с используемыми в вредоносном ПО Stuxnet и Flame, а также упоминаются утечки сведений о разработке в АНБ методов внедрения вредоносного ПО в прошивки). В статье также предпологается, что, вероятно, АНБ получило доступ к исходным текстам прошивок накопителей, так как без исходного кода практически невозможно организовать подстановку в прошивку своего кода. Но подобные утверждения расходятся с практикой, например, энтузиастами уже продемонстрированы методы внедрения кода в прошивки USB-накопителей и MicroSD-карт, используя обычный инструментарий для обратного инжиниринга.

Технология UEFI Secure Boot в целом решает проблему модификации загрузчика операционной системы, но приводит к появлению интереса к проведению атак через замену прошивки UEFI. Для того, чтобы защитить пользователей от подмены компонентов, работающих до применения UEFI Secure Boot, компания Intel предложила технологию "Boot Guard", при помощи которой производитель оборудования имеет возможность верифицировать целостность прошивки по добавленному в CPU хэшу открытого ключа. Подобная система повышает безопасность, но делает невозможным замену проприетарных прошивок BIOS/UEFI на открытый вариант CoreBoot.

Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux, в своё время получивший от Фонда СПО премию за вклад в развитие свободного ПО за достижения в области обеспечения загрузки Linux на системах с UEFI Secure Boot, прокомментировал в своём блоге появление новой возможности тем, что проблема не так проста как кажется и в основном связана с дилеммой перед производителями компьютеров, которым приходится выбирать между безопасностью и свободой. Понимая, что смена прошивки может потребоваться лишь небольшой группе энтузиастов, не удивительно, что выбор делается в пользу безопасности по умолчанию. Решить проблему можно убедив производителей, что свобода распоряжаться своим оборудованием не менее важна, чем безопасность, и пользователю следует предоставить возможность выбора при покупке оборудования.

(с) 17.02.2015 08:17

 

[andy077]

У Касперского явно доходы уменьшились. Я не знаю, что можно вредоносного прошить в фирмварь винчестера из-под работающей системы. Так, чтобы оно потом встроило в ОС то, что будет в сетку влезать и что-то отправлять. Там просто места для этого нету. Ну, либо это разработки на уровне правительства. Тут я пас.

 

[KISS]

полнейший бред, расчитанный на тупых домохозяек, удивляюсь шо ЖирТуми повёлся на эту "новость" ололо :crazy:

 

[j2me]

Антивирус Касперского явный лидер среди вредоносного ПО))) Обгоняет всякие ВинТвики

 

[FosterS]

Я не знаю, что можно вредоносного прошить в фирмварь винчестера из-под работающей системы

дык прошить винт же можно под рабочей системой, значит и впилить туда чтонить можно под рабочей системой.

 

[Jaster]

полнейший бред, расчитанный на тупых домохозяек

Саня, не совсем бред... каждое электронное устройство может иметь контент ПЗУ... ППЗУ... или ОЗУ... любое запоминающее устройство... туда можно записать всё что угодно... даже операционную систему... BIOS занимает 450...500 kB, а микросхемы 2, 4, 8 Mb... а на HDD даже 64Mb есть... тудой можно напихать всё чё угодно...

я прочёл пост... не скажу плохого... за теорию заговора... но теоретически это возможно... Я вас уоляю... если, Вы, хочите правды, то это она!

 

[nwmaster]

Покупаем жеские диски с ПЗУ с УФ стиранием! и возможность обновить есть и никто без вас лампочкой не засветит!

 

[Jaster]

Покупаем жеские диски с ПЗУ с УФ стиранием! и возможность обновить есть и никто без вас лампочкой не засветит!

я улыбнулся... Вы заметили!.. И всё равно не верю, чтобы производители на свои чипы пихали всякое дерьмо... будьте благоразумны... оно им надо!..