Агенты глубокого заражения

Материал из CompromatWiki
Перейти к: навигация, поиск


  Агенты глубокого заражения АНБ внедряет "жучки" в прошивки жестких дисков

Оригинал этого материала

© ИА "РБК", 17.02.2015, "Касперский" раскрыл уникальную американскую шпионскую программу

Иван Ткачев, Мария Бондаренко

«Лаборатория Касперского» обнаружила уникальную программу кибершпионажа, которая может получать доступ к информации на большинстве компьютеров в мире. Расследование указывает на связь хакеров с АНБ США.

Агентство национальной безопасности США придумало скрывать шпионские программы в жестких дисках, производимых Western Digital, Seagate, Toshiba и другими ведущими изготовителями, получая таким образом доступ к информации на большинстве компьютеров в мире. Об этом сообщает Reuters со ссылкой на исследование «Лаборатории Касперского» и показания бывших сотрудников АНБ.

«Лаборатории Касперского» по итогам многолетних наблюдений удалось вскрыть самую сложную и изощренную систему кибершпионажа из известных на сегодняшний день. Специалисты компании обнаружили персональные компьютеры в 30 странах, зараженные одной или несколькими такими шпионскими программами. Наибольшее число зараженных компьютеров, по ее данным, оказалось в Иране, а также России, Пакистане, Афганистане, Китае, Мали, Сирии, Йемене и Алжире. Чаще всего атакованы были компьютеры в правительственных и военных учреждениях, телекоммуникационных компаниях, банках, энергетических компаниях, компаниях, занимающихся ядерными исследованиями, медийных компаниях и у исламских активистов.

Конкретную страну, которая стоит за шпионской кампанией, «Лаборатория Касперского» не называет. Однако уточняет, что она тесно связана со Stuxnet , который был разработан по заказу АНБ для атак на объекты ядерной программы Ирана.

Бывший сотрудник АНБ заявил Reuters, что выводы «Касперского» верны. По его словам, нынешние сотрудники агентства оценивают эти шпионские программы так же высоко, как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала ценный способ сокрытия шпионских программ в жестких дисках, но заявил, что не знает, какие шпионские задачи им отводились.

Представитель АНБ Вэни Вайнс отказалась от комментариев.

"Прорыв" в области кибершпионажа

В понедельник «Касперский» опубликовал технические детали своего исследования, которое должно помочь учреждениям, попавшим под шпионскую атаку, обнаружить вредоносные программы, некоторые из которых относятся еще к 2001 году.

Как подчеркивают исследователи «Касперского», создатели шпионских платформ совершили «потрясающее технологическое достижение», разработав модули, способные перепрограммировать заводскую прошивку жестких дисков. Столь глубокое заражение позволяло злоумышленникам сохранять контроль над компьютером жертвы даже в случае форматирования диска или переустановки операционной системы. По данным «Касперского», «загадочный модуль» способен проникать во встроенное ПО жестких дисков более десятка производителей, включая Seagate, Western Digital, Toshiba, Maxtor, Micron Technology, IBM. Эти бренды охватывают практически весь рынок жестких дисков.

Western Digital, Seagate и Micron заявили Reuters, что ничего не знают об этих шпионских модулях. Toshiba и Samsung отказались комментировать расследование «Касперского». Несмотря на то, что эти особо изощренные «черви» можно было имплантировать в тысячи жестких дисков, на практике хакеры проявляли избирательность и подчиняли себе только компьютеры наиболее ценных иностранных объектов слежки, сообщил глава отдела по глобальным исследованиям и анализу Kaspersky Lab Костин Райю.

[РИА "Новости", 17.02.2015, "Производители жестких дисков отрицают, что давали АНБ исходный код": Производители компьютерных жестких дисков заявили в понедельник, что не предоставляли Агентству национальной безопасности США исходный код программного обеспечения своей продукции, передает агентство Рейтер. [...]

При этом представитель Seagate Клайв Овер заявил, что диски компании производятся так, что, по мнению компании, внедрение внутрь диска становится невозможным.

Представитель Micron Дэниел Франциско заявил, что у компании "нет данных о чужеродном коде" в ее продукции. Представитель Western Digital Стив Шэттак заявил, что компания "не предоставляла исходный код правительственным учреждениям". — Врезка К.ру]

      • Хакеры Equation атаковали более 500 организаций в России и Иране

Оригинал этого материала

© Хakep.ru, 17.02.2015, АНБ внедряет жучки в прошивки HDD, Иллюстрации: via Xakep.ru

Denis Mirkov

Научно-исследовательское подразделение GReAT в «Лаборатории Касперского» вскрыло беспрецедентную кампанию по шпионажу, которая иногда предусматривала даже внедрение spyware в прошивки жёстких дисков разных производителей, а также «прослушку» компьютерных сетей в Иране, России, Пакистане и Китае. Результаты исследования, фрагменты вредоносного кода и его анализ представлены в подробном отчёте и дополнительном
94caed43985af6afe915c1dc2c6f096d.pdf
с вопросами и ответами. (44 стр.)
Eab9908f4b1a3d072f2c33584b10db03.jpeg
География целей хакерских атак группы Equation

[ИА "РБК", 17.02.2015, "Касперский" сообщил о 500 пострадавших от уникальной шпионской программы": От действий обнаруженной недавно кибергруппы Equation Group, превосходящую по своим масштабам, инструментам и эффективности все известные на сегодня команды хакеров, пострадали более 500 компаний, которые расположены главным образом в России и Иране.

«В России среди пострадавших — правительственные учреждения, исследовательские институты, объекты энергетики и инфраструктуры, университеты, военные ведомства, предприятия аэрокосмической отрасли, телекомы и медицинские учреждения», — сообщили РИА Новости в «Лаборатории Касперского». Представители главных российских спецслужб ФСБ и СВР рассказали агентству, что их ведомства не пострадали от программ хакеров из Equation Group. — Врезка К.ру]

На презентации результатов исследования вчера на конференции в Мексике представители «Лаборатории Касперского» назвали автора зловреда — так называемую группу Equation. «ЛК» прямо не указывает на происхождение злоумышленника, но зато приводит доказательства, что группа Equation связана с разработчиками червя Stuxnet, автор которого хорошо известен.

3c06d1c62d52eef86728dc04ef612607.jpeg
Семейство шпионских программ группы Equation

Отдельные импланты Equation внедрялись прямо в прошивки HDD, так что были недосягаемы для антивирусных продуктов. «Касперский» подчеркнул ещё несколько особенностей Equation: 1) шпионские инструменты иногда незаметно копировали с компьютера жертвы ключи шифрования, чтобы расшифровывать защищённый контент; 2) многие инструменты были созданы для работы на компьютерах, отключённых от Сети (air gap осуществлялся модулем Fanny через флэшки и стандартные уязвимости).

Представители «ЛК» сказали, что из всех хакерских групп, деятельность которых они отслеживают в интернете, группа Equation — самая продвинутая. К тому же, она действует с 2001 года. Есть косвенные улики, что группа существует и вовсе с 1996 года, то есть почти два десятилетия.

364eefdc81456f9b8b902a3ac51c9979.jpeg
Хронология разработок шпионских программ группы Equation

Внедрение закладок производилось в жёсткие диски Seagate, Western Digital, Toshiba, Maxtor, IBM и 6 других производителей (всего 12 «категорий» HDD). За перепрограммирование прошивки в наборе инструментов Equation отвечал модуль nls_933w.dll. Модуль также обеспечивал доступ к нескольким скрытым секторам на HDD.

Специалисты GReAT подчёркивают, что внедрение закладок в HDD встречалось крайне редко. Вероятно, АНБ оставляло этот метод только для наиболее важных целей. [...]

 


Ссылки

Источник публикации