Hlavní navigace

NSA umí zapsat špionážní kód do firmwaru pevného disku

Marek Janouš 17. 2. 2015

Neodhalitelného malwaru se přitom nejde zbavit přeformátováním a reinstalací, počítač s napadeným diskem zůstává napaden.

Jakmile americká výzvědná agentura NSA pronikne do určitého počítače, umí pozměnit firmware pevného disku ke svým účelům; malwaru ukrytého ve firmwaru se přitom nelze zbavit obvyklými prostředky, nelze ho v něm ani běžně zjistit, protože do firmwaru disku lze sice zapsat, ale zpravidla nelze jeho obsah ze strany systému číst.

Špionážní kód na disku dokáže udržet počítač napadený i po jeho zformátování a nové instalaci systému. Ruská bezpečnostní firma Kaspersky, která na software upozornila, neuvádí, zda je schopen ochránit se i proti přepisu firmwaru.

Na disku si malware umí udržovat skryté sektory, do kterých ukládá zachycená data. Je schopen zachytit také hesla k šifrám.

I toto odhalení si Kaspersky připravil na konferenci „Security Analyst Summit“, kterou právě pořádá v mexickém Cancúnu. Mluvčí NSA podle agentury Reuters odmítl zprávu komentovat, agentura se ale odvolává na dva nejmenované zaměstnance NSA, kteří jí zjištění Kaspersky potvrdili.

Equation Group

Kaspersky přitom NSA přímo nejmenoval. Jen uvedl souvislosti, které poukazují právě na NSA. Skupinu, která za špionážním softwarem stojí, nazval „The Equation Group“

Firma tvrdí, že „skupina“ je schopna vepsat svůj kód do firmwaru v podstatě všech hlavních výrobců: Western Digitalu, Seagate, Samsungu, Micronu, Toshiby… Znamená to, že útočník se dostal ke zdrojovému kódu firmwaru. Tiskový mluvčí Western Digitalu pro Reuters popřel, že by společnost poskytla zdrojový kód vládním agenturám; ostatní výrobci se nevyjádřili. Kaspersky vyvozuje, že NSA mohla o kód požádat například za účelem „bezpečnostního auditu“.

Časová osa malwaru z rodiny „Equation“
Autor: Kaspersky

Časová osa malwaru z rodiny „Equation“

První pravděpodobné stopy působení „Equation Group“ datuje Kaspersky do roku 1996. Rozsáhlejší činnost mapuje od roku 2001. „Skupině“ připisuje řadu vzájemně spolupracujícího pokročilého malwaru, často využívajícího 0day zranitelností. Nástroje vykazují příbuznost se Stuxnetem, některé využily týchž zranitelností ještě před ním. Některé nesou charakteristická kódová označení jako STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, STRAITSHOOTER, DESERTWINTER.

Desítky tisíc účtů

Útočníci pronikají do počítačů obětí často i klasickými špionážními postupy: Kaspersky popisuje případ polského vědce, kterému po účasti na konferenci v Houstonu došlo CD s fotografiemi z konference. Svůj počítač infikoval, když disk vložil do počítače a spustil. Skupina umí využívat také skrytých oddílů na USB discích.

Kaspersky odhaduje, že malware od „Equation Group“ byl od roku 2001 nasazen na desítky tisíc cílů z třiceti zemí světa: na vlády, diplomaty, lidi pracující v telekomunikacích, energetice, těžařství, v atomovém výzkumu, v nanotechnologiích, na islámské aktivisty, ale i na vědce, novináře, finančníky nebo na firmy vyvíjející šifrování.

„Equation Group“ podle něj provozuje rozsáhlou řídící infrastrukturu sestávající z více než stovky serverů a tří set domén, hostovaných v různých zemích na několika světadílech, od USA po Malajsii, včetně České republiky.

Našli jste v článku chybu?

17. 2. 2015 13:17

Martin Vlach (neregistrovaný)

Že jsou v HDD docela výkonné procesory s dostatkem RAM, je už dlouho známá věc.

Minimálně od doby zveřejnění tohoto: http://spritesmods.com/?art=hddhack

Tedy je známo, že lze udělat virus, který je neodhalitelný a který může být aktivní ještě před startem počítače a OS. Může to udělat kdokoliv s dostatkem času.

A když něco udělat jde, můžeme si být téměř jistí, že to vážně někdo udělá. Takže Kaspersky jen dodali důkazy, že to opravdu někdo udělal a lítá to mezi lidmi.

17. 2. 2015 12:58

Tomas (neregistrovaný)

Titulek je docela bulvarni a zavadejici, nikdo nepotvrdil ze NSA stoji za tim vsim a nikdo nema zadny konkretni dukaz. Takze i kdyby to byli oni, tak ted je to jen cista spekulace, ale redaktori na Lupe evidentne maji lepsi informace nez jina media ve svete. :)
A nebylo by spatne si to po sobe precist, alespon by tam nebylo pak "zěmstnance NSA", "Fiarma tvrdí" apod. a "týchž" je pekne slovicko :)


Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!