Касперский раскрыл кибершпионаж Equation Group

raushan27

 Stuxnet - цветочки.
 Касперские недавно раскрыли (опубликовали) очередной арсенал кибершпионажа "Equation group" по крайней мере такое называние этим кулхацкерам придумали в Касперском.
 Что в этих кулхацкерах такого особенного?
  
Ultimate persistence and invisibility
GReAT has been able to recover two modules which allow reprogramming of the hard drive firmware of more than a dozen of the popular HDD brands. This is perhaps the most powerful tool in the Equation group’s arsenal and the first known malware capable of infecting the hard drives.
By reprogramming the hard drive firmware (i.e. rewriting the hard drive’s operating system the group achieves two purposes:
    An extreme level of persistence that helps to survive disk formatting and OS reinstallation. If the malware gets into the firmware, it is available to “resurrect” itself forever. It may prevent the deletion of a certain disk sector or substitute it with a malicious one during system boot.
    “Another dangerous thing is that once the hard drive gets infected with this malicious payload, it is impossible to scan its firmware. To put it simply: for most hard drives there are functions to write into the hardware firmware area, but there are no functions to read it back. It means that we are practically blind, and cannot detect hard drives that have been infected by this malware” – warns Costin Raiu, Director of the Global Research and Analysis Team at Kaspersky Lab.
    The ability to create an invisible, persistent area hidden inside the hard drive. It is used to save exfiltrated information which can be later retrieved by the attackers. Also, in some cases it may help the group to crack the encryption: “Taking into account the fact that their GrayFish implant is active from the very boot of the system, they have the ability to capture the encryption password and save it into this hidden area,” explains Costin Raiu.
Ability to retrieve data from isolated networks
The Fanny worm stands out from all the attacks performed by the Equation group. Its main purpose was to map air-gapped networks, in other words – to understand the topology of a network that cannot be reached, and to execute commands to those isolated systems. For this, it used a unique USB-based command and control mechanism which allowed the attackers to pass data back and forth from air-gapped networks.
In particular, an infected USB stick with a hidden storage area was used to collect basic system information from a computer not connected to the Internet and to send it to the C&C when the USB stick was plugged into a computer infected by Fanny and having an Internet connection. If the attackers wanted to run commands on the air-gapped networks, they could save these commands in the hidden area of the USB stick. When the stick was plugged into the air-gapped computer, Fanny recognized the commands and executed them.
Classic spying methods to deliver malware
The attackers used universal methods to infect targets: not only through the web, but also in the physical world. For that they used an interdiction technique – intercepting physical goods and replacing them with Trojanized versions. One such example involved targeting participants at a scientific conference in Houston: upon returning home, some of the participants received a copy of the conference materials on a CD-ROM which was then used to install the group’s DoubleFantasy implant into the target’s machine. The exact method by which these CDs were interdicted is unknown

 Возможности поражают. Они могут записывать зловредный код в прошивку жестких дисков крупнейших производителей (western-digital, seagate ит.п.) после этого бесполезно форматировать диск. Заражение прошивки происходит с помощью нескольких уязвимостей нулевого дня.
 К тому же, считать информацию из прошивки проблематично - т.е. определить заражен ли диск сложно.
 Затем средства доступа/передачи команд в сети не подключенные к интернетам. Достаточно зараженной флэшки, которая периодически втыкается в компы во внутренней сети и во внешней.
 Короче, работают явно не любители, а учитывая сложность кода, интерес к закрытым сетям - весьма вероятно спецслужбы.
 Тот факт, что уязвимы прошивки 12 ведущих производителей хардов, позволяет допустить мысль, что эти самые производители сотрудничали. Впрочем, доказать этого нельзя.
 Много интересного текста на английском:
  Касперский
  scribd
  reuters
 
 

a100243

А почему все так радостно утверждают, что это US программа? Делая морду Лаврова, прошу показать мне спутниковые снимки или другие неопровержимые свидетельства.

seregen-ka

На самом деле, это тайная организация английских луддитов, которые в начале 19 века ушли в подполье и с тех пор лелеят идею вернуть человечество в каменный век и к ручному труду...

raushan27

Бери выше, это ZOG!
Короче, доказательств связи с NSA найти будет проблематично. Остаются аргументы типа никому больше такое не по зубам.

seregen-ka

Все сложнее:
ZOG посредством луддитов, хочет ввергнуть мир в каменный век, потом, как технологический монополист и спаситель человечества, выйдет из тени, полностью захватив контроль над человеческими ресурсами, природными ископаемыми и продовольствием, тысячелетия тьмы и рабства грядут...

Suveren

Короче, доказательств связи с NSA найти будет проблематично. Остаются аргументы типа никому больше такое не по зубам.
да ладно. как будто быть героем паяльника и ассемблера можно только на службе анб.

marina355

А прога обращается к процу или чему-нибудь вне ЖД? И в этот момент ее засечь нельзя? Что значит фирмваре не читаемо? Оно исполняется внутри ЖД?

raushan27

да ладно. как будто быть героем паяльника и ассемблера можно только на службе анб.
 Ну как. Большое количество 0day уязвимостей. Т.е. это не широко известные дыры. В особенности уязвимости железа (харды в обиходе такие вещи называют закладками. Средства работы с параноидальными air-gapped сетями, которые с интернетом не связаны. Шпионские штучки: участникам научной конференции раздали зараженные диски с троянчиками. Точнее в какой-то момент их подменили при доставке.
 Короче там много такого, что рядовому красноглазику с дизассемблером не по зубам. Да и не нужно.

marina355

Перехват и подмена заказанных почтой драйвов еще.

raushan27

А прога обращается к процу или чему-нибудь вне ЖД? И в этот момент ее засечь нельзя? Что значит фирмваре не читаемо? Оно исполняется внутри ЖД?
 Вот честно говоря, для меня эти особенности чтения/записи прошивки стали откровением. Может специалисты по железу скажут?
 Что касается обращения к процу, возможно его и нет. Если я правильно понял, там не исполняемый код для процессора, а подпорченый жестяк, который не дает удалить вредоносный код.
An extreme level of persistence that helps to survive disk formatting and OS reinstallation. If the malware gets into the firmware, it is available to “resurrect” itself forever. It may prevent the deletion of a certain disk sector or substitute it with a malicious one during system boot.

spiritmc

> Что касается обращения к процу, возможно его и нет. Если я
> правильно понял, там не исполняемый код для процессора, а
> подпорченый жестяк, который не дает удалить вредоносный код.
>> An extreme level of persistence that helps to survive disk
>> formatting and OS reinstallation. If the malware gets into
>> the firmware, it is available to "resurrect" itself forever.
>> It may prevent the deletion of a certain disk sector or
>> substitute it with a malicious one during system boot.
Может быть и исполняемый код для процессора. Никто не запретил.
Судя по описанию, они намекают на гипервизор, загружающийся
до основной операционной системы и перехватывающий общение
по сети. Это достаточно легко, про такие возможности говорят
уже десяток лет где-то.
Некстати, это наглядно показывает необходимость военным и
"росатым" иметь доступ к полному циклу производства, а не
отдавать всё на откуп малайцам.
---
...Я работаю антинаучным аферистом...

Suveren

Большое количество 0day уязвимостей. Т.е. это не широко известные дыры.
Все кроме анб пользуются готовыми дырами? Люди просто берут их и ищут.
В особенности уязвимости железа (харды в обиходе такие вещи называют закладками.
закладками называют то что заложено специально. я знаю, что многие программисты для микро-контролеров просто кладут болт на безопасность. им надо чтоб быстро и без сбоев работало, а не чтоб прошивку нельзя было похачить.
Средства работы с параноидальными air-gapped сетями, которые с интернетом не связаны.
ну так потому что вирус явно для промышленного саботажа и диверсий, где такой метод защиты очень популярен.
Шпионские штучки: участникам научной конференции раздали зараженные диски с троянчиками.
лол. банальная социальная инженерия. мне один пентестер московский рассказывал, что это его любимый способ - тупо под любым предлогом раздаёт сотрудникам компании бесплатные флэшки.
Точнее в какой-то момент их подменили при доставке.
да они же брендированные наверняка были. так что на них можно было записать что угодно в конторе, что брендировала за скромную взятку девочке, которая их в принтер засовывает.

prohor12

После таких новостей по-другому начинаешь смотреть на многочисленные посты про IT шников в армии на хабре, типа такого:
http://habrahabr.ru/post/238427/
И особенно такого:
http://habrahabr.ru/post/237641/
"Сослуживцы ходили и клянчили, чтобы я им все это скинул, всем надоело играть в косынку. Способов сделать это я не знал. Порты USB отключены аппаратно. Но, как выяснилось, все компьютеры были объединены в локальную сеть. Запустив через Excel командную строку, я смог зайти на соседний компьютер и скинуть туда необходимые файлы. И тут меня осенило… Excel, VBA, чтение/запись файлов, локальная сеть… Смекаете?"
То есть там у них в секретных службах - 1) Windows 2) Excel 3) USB Флешки 4) Локальная сеть - все необходимые компоненты, чтобы всё описанное в новостях успешно функционировало.
Victims-map:
http://cdn.arstechnica.net/wp-content/uploads/2015/02/Victim...

gsaxxx

Остаются аргументы типа никому больше такое не по зубам.
чувак на коленках похачил диск
http://spritesmods.com/?art=hddhack

a100243

 Вот честно говоря, для меня эти особенности чтения/записи прошивки стали откровением. Может специалисты по железу скажут?
да так оно и есть. Сейчас любая переферия - это мини-компьютер. Кстати, все называют Столмана параноиком, а он эту дыру уже давно предсказывал.
Лже-патриоты любят задавать вопросы "если не путин, то кто", на что им отвечают, что путин сам и зачистил политическое поле россии, лишив её перспектив развития. Так вот, у США есть такой же грех по отношению к развитию информационных технологий. США воспользовалось привелегией первооткрывателя и постаралась сделать отрасль максимально недружественной по отношению к конечному пользователю. И продолжает стимулировать закрытые и шпионящие решения на всех уровнях. И весь мир играет по этим правилам. В результате мы больше не можем доверять нашим инструментам производства. Впервые за историю человечества. Мы вступили в эпоху злой и непонятной магии, создав её сами.

antcatt77

Впервые за историю человечества.
Как будто раньше можно было доверять изделиям другим.
Потайные ходы в замках,
троянский конь,
смазанные/пропитанные ядом - одежда, вещи, свечи, еда, благовония и т.д.,
оспа в одеялах,
и т.д.

Nefertyty

на самом деле до появления соответствующих технологий использовались люди, а им вообще нельзя доверять

a100243

Ну во-первых, я о средствах производства. А во-вторых, для всего этого были способы проверки и очистки. Прокипяти одеяло (минут 10) и ты его продезинфицируешь.

antcatt77

А во-вторых, для всего этого были способы проверки и очистки. Прокипяти одеяло (минут 10) и ты его продезинфицируешь.
Методы проверки безопасности изделий и простые способы по ликвидации угроз появились значительно позже, чем сами угрозы и их использование.
В данном случае, всё будет тоже самое - сейчас появились угрозы, а лет через 20-50 появятся способы по борьбе с этими угрозами.
средствах производства
Они когда успели стать безопасными? Всё свое существование - они травили, жгли, взрывали, калечили, пускали по миру работников и окружающих.

wawa321

чё делать-то в итоге, как спасаться простым смертным? :)

antcatt77

чё делать-то в итоге, как спасаться простым смертным?
Не использовать компьютер (и его аналоги) в своей работе и в личной жизни.

wawa321

ну а если использовать, то чем грозит? например, заклеивание видеокамеры на ноуте - паранойя, или реально большой брат отследить может? или если вайфай типа выключить, то всё равно у большого брата к компу доступ есть?

langame

Шапочка из фольги, говорят, помогает.

a100243

Они когда успели стать безопасными?
Я говорил не про безопасность, а про контролируемость и возможность понять, чего от него ждать. Одно дело паровой котёл, у которого низкая прочность, и который иногда взрывается в присутствии рабочих. И другое дело котёл, запаса прочности которого хватает на 100 лет работы, но он взрывается в присутствии определённого человека из совета директоров, например.

antcatt77

ну а если использовать, то чем грозит? например, заклеивание видеокамеры на ноуте - паранойя, или реально большой брат отследить может?
Для обычного человека проблема не в большом брате, а в хакерах средней руки. И в том, что можно попасть в сферу их интересов.
заклеивание видеокамеры на ноуте - паранойя, или реально большой брат отследить может? или если вайфай типа выключить, то всё равно у большого брата к компу доступ есть?
По отдельности - эти меры ничего не решают. В комплексе же уменьшают вероятность попадания в неприятную ситуацию, но не гарантируют этого.

antcatt77

Я говорил не про безопасность, а про контролируемость и возможность понять, чего от него ждать.
Это постоянная борьба между мощностью технологий и их предсказуемостью. Был, конечно, очередной краткий миг - когда предсказуемость вырвалась вперед, но затем мощность технологии выросла и предсказуемость опять отстала.
Приручил человек огонь и только много позже научился предсказывать его распространения, и использовать профилактику по защите от него.
Приручил животных - и много позже появилась предсказуемость и профилактика.
Придумал простейшую химию - и много позже научился предсказывать ее поведение и профилактику.
Начал строить дома - и много позже научился предсказывать их поведение и использовать профилактику.
и т.д.

FieryRush

Да, ну. Все эти диски и прочая байда отличаются серьезно даже внутри одной фирмы, самое неблагодарное дело анализировать эту байду. Типичная ситуация, когда нужна очень высокая квалификация исполнителя в то время как задача исключительно тупая. Ну да может ЦРУ может хакнуть десяток моделей заранее зная, что стоит у путина в кабинете, но что-то другое мало вероятно.
Только ужасный ИИ справится с этой задачей.

Nefertyty

Ну да может ЦРУ может хакнуть десяток моделей заранее зная, что стоит у путина в кабинете, но что-то другое мало вероятно.
ну типа как с иранскими центрифугами, знали примерно какие модели контроллеров там могут быть
и сейчас могли посмотреть по закупкам, какие сервера покупают в компаниях X Y и Z которые являются целью, и там конечное число моделей дисков

gsaxxx

ну а если использовать, то чем грозит?
тебе, как и большинству, ничем - потому что нахуй никому не нужны
ну разьвечто рекламу впихнут

Nefertyty

тебе, как и большинству, ничем - потому что нахуй никому не нужны
а как же старое доброе вымогательство? и воровство с банковских счетов?

gsaxxx

каков процент пользователей пострадавших от такого рода действий?

Nefertyty

сложно сказать какой процент, надо считать например среди тех, у кого есть заметные деньги, и кто при этом пользуется ими через онлайн-сервисы
понятно, что если денег нет, то их и не отберут

KLAYD

 Вот честно говоря, для меня эти особенности чтения/записи прошивки стали откровением. Может специалисты по железу скажут?
 Что касается обращения к процу, возможно его и нет. Если я правильно понял, там не исполняемый код для процессора, а подпорченый жестяк, который не дает удалить вредоносный код.
Любой специалист по восстановлению данных может записать сотню мегабайт кода в прошивку любого почти драйва пользуясь доступным софтом. Ну и оттрейсить набор этих команд для доступа к прошивке очень просто. Маловероятно что производители как-то поучаствовали. Скорее всего прошивка тут используется только как хранилище данных, защищенное от чтения и форматирования.
Сурс: я девелоплю этот самый софт для компаний по восстановлению данных.

gsaxxx

может записать сотню мегабайт кода в прошивку любого почти драйва
:lol:

KLAYD

ну расскажи что тебя так порадовало

gsaxxx

мб в прошивку любого драйва, когда в большинстве дисков 64мб или меньше

KLAYD

Твои 64мб это кэш. Сама прошивка лежит на блинах, и под нее выделено несколько сотен мегабайт.
Оставить комментарий
Имя или ник:
Комментарий: