Вредоносное ПО внедряется в прошивку диска, что позволяет сохраняться на нем после форматирования

Тема в разделе "Новости информационной безопасности", создана пользователем shestale, 17 фев 2015.

  1. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    «Касперский» выявил американский шпионский вирус
    [​IMG]

    Агентство национальной безопасности США научилось прятать шпионское программное обеспечение в зонах жестких дисков, защищенных от удаления и форматирования. Речь идет о дисках крупнейших производителей, что теоретически позволяет спецслужбе незаметно считывать данные с большинства используемых в мире компьютеров, передает Reuters.

    Новые шпионские программы были обнаружены российской «Лабораторией Касперского». Разработчик антивирусов утверждает, что выявил инфицированные подобным методом компьютеры в 30 странах. На первом месте в этом списке он назвал Иран, затем Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир.

    Целью слежки, как уточнила лаборатория, были правительственные и военные учреждения, телекоммуникационные и энергетические компании, банки, атомные исследовательские центры, СМИ и исламские активисты. Хотя инициаторы шпионажа могли технически получить доступ ко множеству компьютеров, на самом деле они выбрали в «жертву» ограниченное количество — тех, кем они непосредственно интересовались.

    Фирма прямо не назвала, какая именно страна ответственна за подобный шпионаж, однако уточнила, что это тесно связано с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране.

    Бывший сотрудник АНБ подтвердил информагентству, что анализ «Лаборатории Касперского» является правильным. Другой бывший разведчик, в свою очередь, сообщил, что АНБ действительно разработало технологию сокрытия шпионских программ в жестких дисках.

    Согласно выводам исследования, вредоносное ПО внедряется в прошивку диска, что позволяет вирусу сохраняться на нем, даже если будут удалены все файлы и выполнено форматирование. По ценности для хакера такой метод внедрения вируса стоит на втором месте, уступая только заражению BIOS.

    Как отмечают исследователи, перед программой, внедряющейся в компьютеры подобным образом, уязвимы жесткие диски более чем десятка ведущих компаний, охватывающих практически весь рынок. Речь идет о таких известных брендах, как Western Digital, Seagate Technology, Toshiba, IBM, Micron Technology и Samsung Electronics.

    Проблема государственного кибершпионажа со стороны США стала актуальной после того как бывший сотрудник американских спецслужб Эдвард Сноуден передал журналистам ряд секретных документов об их деятельности. В частности, он сообщил о ведении масштабной слежки за телефонными разговорами и электронной перепиской как рядовых американцев, так и лидеров мировых держав. В США Сноудена обвиняют в шпионаже. В 2013 году российские власти предоставили ему убежище.
    источник
     
    fseto, orderman, Phoenix и 2 другим нравится это.
  2. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Вот что интересно. А внедряется ли оно в прошивку, или вместе с прошивкой на заводе устанавливается?
     
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Интересно установка пароля на хард должна же помочь ?! В ноутах пароль ставится производителем и замораживат (freezy) - вот интересно на них находили ?
     
  4. Drink
    Оффлайн

    Drink Активный пользователь

    Сообщения:
    839
    Симпатии:
    556
    Нет. Используется плагин. со стр. 16
    ??? Недокументированные команды (а, например, WD, не выкладывает firmware в доступ) как используются, если недокументированы? :)) Только производитель знает их. И проверку целостности firmware при самодиагностике никто не отменял. :)) Бред. И ни одного конкретного примера авторов исследования в рамках такого "шумного открытия".
     
    fseto, Phoenix, ScriptMakeR и ещё 1-му нравится это.
  5. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Может не только ? И обойти тест недокументированной фичей наверное можно - будет выводить всегда ОК, например ? Это для нас нет прошивок, для спецслужб закрытых дверей в принципе нет.
    Хакеры - настоящие хозяева интернета.
     
  6. Drink
    Оффлайн

    Drink Активный пользователь

    Сообщения:
    839
    Симпатии:
    556
    Можно, вот нашёл интересный документ годичной давности про backdoor,
    , что логично. Но не отсюда ли ноги растут у сегодняшней новости про Фаню-то (Funny-червяк) ?... :Crazy:
    Никакой конкретики у Каспёрского-лаб так и не нашёл...
     

    Вложения:

    • Recon14_HDD.pdf
      Размер файла:
      1,4 МБ
      Просмотров:
      4
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309
    Контрольная сумма где хранится? :)
    Получаем доступ к компу, подсовываем трой в виде обновления прошивки.
    Нельзя исключать и тот факт, что один из вендоров может сотрудничать с АНБ.
    Ага. И на основании чего они сделали вывод о том, что шпионаж в пользу США...
     
  8. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Вполне =политкорректная= статья в духе последних событий :)
     
    Drink нравится это.
  9. Drink
    Оффлайн

    Drink Активный пользователь

    Сообщения:
    839
    Симпатии:
    556
    В firmware.
    Легко.
    --
    Ни одного примера работы вируса с firmware диска Каспер не приводит. Документ на английском языке только, почему-то...
    тогда и обновлять придётся по-теневому, т.к. сами диски у всех производителей не обновляются, только вручную те, у кого обновление есть в доступе на сайте вендора.
    Если только сам вендор не кормит прошивками, уже модифицированными с согласия АНБ. На заводе - по просьбе АНБ? :Scratch One S Head::Shok:
     
    Последнее редактирование: 17 фев 2015
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Лично я так и понял, прочитав в самом начале эту статью.
     
  11. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309
    Всего-то поменять пару циферей.
    В Autorun и готово.
     
  12. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Тут накануне было событие
    В полицию Петербурга сегодня, 7 февраля, поступило заявление о хищении жестких дисков из офиса компании «Специальные технологии», производящей аппаратуру по лицензии ФСБ.

    Как стало известно «Фонтанке», представитель «Специальных технологий» пришел в УМВД Московского района около 16:00 и сообщил, что неизвестные пробрались в офис на площади Конституции, 2, и вынули из всех 62 компьютеров жесткие диски с информацией. Заявление полиция зарегистрировала.

    Компания «Специальные технологии» занимает уникальное место на рынке «шпионской» аппаратуры, имея бессрочную лицензию УФСБ Петербурга и области на разработку, производство и реализацию специальных технических средств для негласного получения информации.

    «Специальные технологии» одновременно находятся в центре двух скандалов. Генеральный директор Михаил Серов обвиняется в сексуальной связи с несовершеннолетними и в данный момент находится в бегах в статусе заочно арестованного судом Саратова. В его отсутствие была совершена попытка захвата «Специальных технологий», о чем полиция также уведомлена.
     
    Последнее редактирование: 17 фев 2015
    Kиpилл, Dragokas и Drink нравится это.
  13. Drink
    Оффлайн

    Drink Активный пользователь

    Сообщения:
    839
    Симпатии:
    556
    Пройти контроллер ещё надо, командой download microcode, и чтобы контроллер регистры выставил, а у всех разный алгоритм... Вообщем, вопросов много. То плагин, то ужё firmware...
     
  14. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Не ребят, компания с ними не может сотрудничать на таком уровне, т.к. при обнаружении слежки она так себя скомпрометирует, что станет банкротом. Вы станете после этого покупать диски этой компании? Даже если они скажут что микропрошивки были внедрены "точечно". Не станете ибо не сможете сказать наверняка что точечно не следят за вами или за гос.органами вашей страны. Вряд ли руководство компании стогласится на такой риск, при этом тут уже не сыграет роль что заказ финансировала АНБ, они от этого открестятся, т.к. по сути(гипотетически предположим что это правда) нужная инфа ими уже получена, дальше они просто мониторят компы и всё. А закон на невторжение в личную частную жизнь и шпионаж за государством в пользу другой страны никто не отменял... Засудят и даже если оправдаются, пятно не отмоется, они станут банкротами.

    Скорее всего здесь банальная красиво написаная пропагандисткая статья, даже даны наколки, Иран, программа по обогащению урана, ну какой стране это всё интересно? Правильно CLLIA. Всё грамотно.
     
    Последнее редактирование: 18 фев 2015
    ScriptMakeR и fseto нравится это.
  15. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    http://russian.rt.com/article/74891
    По мнению зампреда комитета Совета Федерации по конституционному законодательству Константина Добрынина, обнаружение «Лабораторией Касперского» шпионских программ, предположительно связанных с АНБ, свидетельствует об эффективности российских систем кибербезопасности.

    «Сам факт того, что мы об этом превентивно узнали и вычислили сам источник прямой и явной угрозы, говорит о том, что есть ещё порох в пороховницах, а наши системы кибербезопасности достаточно эффективны и способны на равных бороться с главным разведывательным монстром современного мира», - приводит РИА Новости слова Добрынина.
     
    shestale нравится это.
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    нет, перепрошивали на компьютерах пользователей.
    смотреть PDF отчёт страница №12
    То есть используется уязвимость через LNK ярлыки на флешках. Тем же есть и скрин под названием
    .
    А также смотрим страницу №33
    --- Объединённое сообщение, 18 фев 2015 ---
    А связь с USA уже легко можно предположить из того, что доподлинно известно, что Stuxnet создали именно они.
    --- Объединённое сообщение, 18 фев 2015 ---
    Анализ библы, на VT https://www.virustotal.com/ru/file/...9c26149eef2960500b2177c736c5c846035/analysis/
     
    Drink нравится это.
  17. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Улыбнул детект Касперского: HEUR:Trojan.Win32.EquationDrug.gen :)
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
     
  19. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    regist,
    Я про перевод Equation Drug - Уравнение с наркотиками :)
     
    regist нравится это.
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Страница №18, вот ещё немного про то как происходит заражение (кстати общую схему заражение можно посмотреть на скринах)
    --- Объединённое сообщение, 18 фев 2015, Дата первоначального сообщения: 18 фев 2015 ---
    Ещё интересное из отчёта
    То есть если пользователь заражённой машины посещает сайты посвящённые Исламскому Джихату или с рекламой популярной на Ближнем Востоке, то форумы будут скомпрометированы с помощью специально PHP скрипта, который используется только для авторизованных посетителей.
     
    Drink нравится это.

Поделиться этой страницей