Крайний Север (far_far_north) wrote,
Крайний Север
far_far_north

«Касперский» раскрыл уникальную американскую шпионскую программу

Взято из РБК

«Лаборатория Касперского» обнаружила уникальную программу кибершпионажа, которая может получать доступ к информации на большинстве компьютеров в мире. Расследование указывает на связь хакеров с АНБ США.

Агентство национальной безопасности США придумало скрывать шпионские программы в жестких дисках, производимых Western Digital, Seagate, Toshiba и другими ведущими изготовителями, получая таким образом доступ к информации на большинстве компьютеров в мире. Об этом сообщает Reuters со ссылкой на исследование «Лаборатории Касперского» и показания бывших сотрудников АНБ.

«Лаборатории Касперского» по итогам многолетних наблюдений удалось вскрыть самую сложную и изощренную систему кибершпионажа из известных на сегодняшний день. Специалисты компании обнаружили персональные компьютеры в 30 странах, зараженные одной или несколькими такими шпионскими программами. Наибольшее число зараженных компьютеров, по ее данным, оказалось в Иране, а также России, Пакистане, Афганистане, Китае, Мали, Сирии, Йемене и Алжире. Чаще всего атакованы были компьютеры в правительственных и военных учреждениях, телекоммуникационных компаниях, банках, энергетических компаниях, компаниях, занимающихся ядерными исследованиями, медийных компаниях и у исламских активистов.

Конкретную страну, которая стоит за шпионской кампанией, «Лаборатория Касперского» не называет. Однако уточняет, что она тесно связана со Stuxnet, который был разработан по заказу АНБ для атак на объекты ядерной программы Ирана.

Бывший сотрудник АНБ заявил Reuters, что выводы «Касперского» верны. По его словам, нынешние сотрудники агентства оценивают эти шпионские программы так же высоко, как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала ценный способ сокрытия шпионских программ в жестких дисках, но заявил, что не знает, какие шпионские задачи им отводились.

Представитель АНБ Вэни Вайнс отказалась от комментариев.

«Прорыв» в области кибершпионажа

В понедельник «Касперский» опубликовал технические детали своего исследования, которое должно помочь учреждениям, попавшим под шпионскую атаку, обнаружить вредоносные программы, некоторые из которых относятся еще к 2001 году.

Как подчеркивают исследователи «Касперского», создатели шпионских платформ совершили «потрясающее технологическое достижение», разработав модули, способные перепрограммировать заводскую прошивку жестких дисков. Столь глубокое заражение позволяло злоумышленникам сохранять контроль над компьютером жертвы даже в случае форматирования диска или переустановки операционной системы. По данным «Касперского», «загадочный модуль» способен проникать во встроенное ПО жестких дисков более десятка производителей, включая Seagate, Western Digital, Toshiba, Maxtor, Micron Technology, IBM. Эти бренды охватывают практически весь рынок жестких дисков.


Western Digital, Seagate и Micron заявили Reuters, что ничего не знают об этих шпионских модулях. Toshiba и Samsung отказались комментировать расследование «Касперского».


Несмотря на то, что эти особо изощренные «черви» можно было имплантировать в тысячи жестких дисков, на практике хакеры проявляли избирательность и подчиняли себе только компьютеры наиболее ценных иностранных объектов слежки, сообщил глава отдела по глобальным исследованиям и анализу Kaspersky Lab Костин Райю.


Какая "жирненькая" тема! Я, конечно, не специалист в области IT, но немножко в теме. Попробую откомментировать то, что на мой взгляд является аксиомой. Остальное можно предположить.

1. Действительно у каждого жесткого диска есть своя микропрограмма, используемая для всевозможных сервисных функций. Так называемая "прошивка" т.е. firmware. Она работает на "низком" железячном уровне и служит для того чтобы определять некоторые параметры работы диска, калибровку, правила разметки, механизм коррекции ошибок, ремаппинг бэд-блоков, вопросы энергосбережения и множество других функций, о которых мне неизвестно доподлинно.

2. Эта микропрограмма действительно может быть изменена. Собственно иногда производитель специально выпускает обновление кода прошивки для коррекции каких-то ошибок, либо включения новой функции, либо обеспечения совместимости с новым ПО или "железом".

Далее мои умозаключения, которые основываются исключительно на опыте и, понятное дело, могут быть оспорены.

3. Допустим, шпионское ПО внедрено в прошивку. Я не знаю, сколько места доступно для программирования HDD на низком уровне, допустим что достаточно для размещения вредоносного кода. Однако, сам жесткий диск НЕ РАБОТАЕТ с данными пользователя. Он просто не умеет, гадко хихикая, отправлять данные пользователя на удаленный комп. Он предоставляет операционной системе по запросу куски двоичного кода, записанного в разных частях носителя. То есть система говорит "а прочитай-ка мне 500 байт в таком-то цилиндре, на такой-то дорожке, с таким вот смещением" и получает в ответ искомое. Где здесь применение вредоносному коду? Нет его. Закладки надо искать в операционной системе или другом ПО, установленном на компьютере.

4. Для того чтобы вредоносный код заработал, необходима программа, которая его прочитает и направит на исполнение. Если это операционная система, имеющая "черный ход", то зачем нужен вредоносный код на диске? Если это вирус, активирующий скрытые алгоритмы прошивки, то ему тоже не особо нужна "закладка" на жестком диске, он замечательно сможет сделать это сам. Да, идея о том, что такой теоретический вирус в системной области жесткого диска может пережить переустановку ОС или форматирование верная. Но кто его запустит? При установке ОС перезаписывает загрузочный сектор жесткого диска, ставит ссылку на свои загрузочные модули. Даже если вирус был в бут-секторе (как в старые добрые времена), то он будет перезаписан. То есть вирус в бут-секторе не имеет смысла и в прошивке тоже. Это же не модем в конце-концов! В модеме можно модифицировать ПО чтобы открыть "черный ход" или отправлять часть трафика по определенному адресу. Пользователь этого не заметит, а вот сисадмин в конторе может и углядеть - шила в мешке не утаишь. Но в жестком диске? Сомневаюсь.

5. Далее, сколько существует моделей жестких дисков? Сотня? Две? Допустим, около сотни актуальных, разного объема, разного назначения. И что, вирус запишется в каждый? Да так чтобы не нарушить работу самого устройства? Даже мне понятно что прошивки отличаются размерами, функциями и т.д. Нельзя сделать универсальный код. Без операционной системы отправить что-то куда-то не выйдет. Сколько есть разных операционок? Меньше чем жестких дисков. Несколько разновидностей Windows. Unix/Linux/BSD клоны считать смысла нет. На них такая тема вообще не прокатит, имхо. Слишком много релизов, версий ПО, компиляторов и т.д. Вывод - невозможно создать код, который будет работать на ВСЕХ компах. Да и не надо. Как удаленно отличить комп, стоящий в администрации ЗАТО от домашнего? Нанять армию специалистов для контроля? Лопатить терабайты поступающего мусора для того чтобы найти крупицы информации разной степени недостоверности? Какая нагрузка ляжет на глобальную сеть?

6. Как вредоносный код попадает в прошивку? Или это вирус, который не отлавливается антивирусом и пишет вредоносный код в прошивку (выбирая из сотни наименований жестких дисков?) или это "закладка", сделанная на заводе, где производят и программируют жесткие диски. Не знаю что более невероятно. Самый простой путь - сделать "закладки" в операционной системе, благо той же АНБ, как я думаю, гораздо легче надавить на американскую Microsoft, чем на азиатов - производителей жестких дисков.

Теперь несколько мыслей относительно того кто поднял кипеш - Лаборатория "Касперского". Моя трактовка.

7. Это бизнес, которому выгодны вирусные эпидемии, как производителям "Тамифлю" выгодны эпидемии птичьего гриппа. А под такую угрозу можно и госзаказы получить.

8. Компания Евгения Касперского находится в условиях жесткой конкуренции. В свое время они здорово подмочили репутацию, выпуская антивирусы, которые в фоновом режиме сжирали все доступные ресурсы, из-за чего не только играться, в Офисе работать не выходило. Чем заслужили народную нелюбовь. Сейчас полно эффективных и бесплатных антивирусных продуктов, то есть еще надо постараться чтобы заставить пользователя купить Каспера. Мы говорим о массовом сегменте домашних компов, сервера и фильтры дело другое.

9. РБК тот еще источник.

Выводы. На первый взгляд все это кажется пшиком, если только информация не искажена пересказываниями. Одно ясно совершенно точно: до тех пор пока мы имеем ненулевую вероятность вооруженного конфликта с США и Европой, нам кровь из носа необходимо свое ПО. Windows прекрасна и удобна, но никто не сможет поручиться, что в один прекрасный момент наши компы просто не выйдут из строя. Это было бы слишком глупо для НАТОвцев - упустить такой шанс. Закончить войну, не начав. Остальное пока не столь критично.

Tags: АйТи
Subscribe

  • Всякое

    Вчера ходил на мясо с коллегами с прошлой работы. Весьма удачно, несмотря на снег. Алиса опять была гвоздём вечеринки, выли песни, и даже…

  • О производительности труда

    Утром водил ребёнка на анализ крови. Припарковался около поликлиники, вышел из машины. Стоят двое работяг, перекуривают, что-то обсуждают. Ну мы…

  • Не гектар, а гектарище!

    Летом должна стартовать программа "Арктический гектар". Первые полгода заявки на получение могут подавать только жители соответствующего региона, а…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment