• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Вредоносное ПО внедряется в прошивку диска, что позволяет сохраняться на нем после форматирования

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#1
«Касперский» выявил американский шпионский вирус


Агентство национальной безопасности США научилось прятать шпионское программное обеспечение в зонах жестких дисков, защищенных от удаления и форматирования. Речь идет о дисках крупнейших производителей, что теоретически позволяет спецслужбе незаметно считывать данные с большинства используемых в мире компьютеров, передает Reuters.

Новые шпионские программы были обнаружены российской «Лабораторией Касперского». Разработчик антивирусов утверждает, что выявил инфицированные подобным методом компьютеры в 30 странах. На первом месте в этом списке он назвал Иран, затем Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир.

Целью слежки, как уточнила лаборатория, были правительственные и военные учреждения, телекоммуникационные и энергетические компании, банки, атомные исследовательские центры, СМИ и исламские активисты. Хотя инициаторы шпионажа могли технически получить доступ ко множеству компьютеров, на самом деле они выбрали в «жертву» ограниченное количество — тех, кем они непосредственно интересовались.

Фирма прямо не назвала, какая именно страна ответственна за подобный шпионаж, однако уточнила, что это тесно связано с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране.

Бывший сотрудник АНБ подтвердил информагентству, что анализ «Лаборатории Касперского» является правильным. Другой бывший разведчик, в свою очередь, сообщил, что АНБ действительно разработало технологию сокрытия шпионских программ в жестких дисках.

Согласно выводам исследования, вредоносное ПО внедряется в прошивку диска, что позволяет вирусу сохраняться на нем, даже если будут удалены все файлы и выполнено форматирование. По ценности для хакера такой метод внедрения вируса стоит на втором месте, уступая только заражению BIOS.

Как отмечают исследователи, перед программой, внедряющейся в компьютеры подобным образом, уязвимы жесткие диски более чем десятка ведущих компаний, охватывающих практически весь рынок. Речь идет о таких известных брендах, как Western Digital, Seagate Technology, Toshiba, IBM, Micron Technology и Samsung Electronics.

Проблема государственного кибершпионажа со стороны США стала актуальной после того как бывший сотрудник американских спецслужб Эдвард Сноуден передал журналистам ряд секретных документов об их деятельности. В частности, он сообщил о ведении масштабной слежки за телефонными разговорами и электронной перепиской как рядовых американцев, так и лидеров мировых держав. В США Сноудена обвиняют в шпионаже. В 2013 году российские власти предоставили ему убежище.
источник
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#3
Интересно установка пароля на хард должна же помочь ?! В ноутах пароль ставится производителем и замораживат (freezy) - вот интересно на них находили ?
 

Drink

Активный пользователь
Сообщения
1,057
Симпатии
751
#4
или вместе с прошивкой на заводе устанавливается?
Нет. Используется плагин. со стр. 16
the plugin uses a lot of undocumented, vendor-specific ATA
commands, for the drives mentioned above as well as all the others
??? Недокументированные команды (а, например, WD, не выкладывает firmware в доступ) как используются, если недокументированы? :)) Только производитель знает их. И проверку целостности firmware при самодиагностике никто не отменял. :)) Бред. И ни одного конкретного примера авторов исследования в рамках такого "шумного открытия".
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#5
??? Недокументированные команды (а, например, WD, не выкладывает firmware в доступ) как используются, если недокументированы? :)) Только производитель знает их. И проверку целостности firmware при самодиагностике никто не отменял. :)) Бред. И ни одного конкретного примера авторов исследования в рамках такого "шумного открытия".
Может не только ? И обойти тест недокументированной фичей наверное можно - будет выводить всегда ОК, например ? Это для нас нет прошивок, для спецслужб закрытых дверей в принципе нет.
Хакеры - настоящие хозяева интернета.
 

Drink

Активный пользователь
Сообщения
1,057
Симпатии
751
#6
Можно, вот нашёл интересный документ годичной давности про backdoor,
This backdoor hooks between cache and read/write task
, что логично. Но не отсюда ли ноги растут у сегодняшней новости про Фаню-то (Funny-червяк) ?... :Crazy:
Никакой конкретики у Каспёрского-лаб так и не нашёл...
 

Вложения

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,692
Симпатии
5,593
#7
И проверку целостности firmware при самодиагностике никто не отменял.
Контрольная сумма где хранится? :)
Получаем доступ к компу, подсовываем трой в виде обновления прошивки.
Нельзя исключать и тот факт, что один из вендоров может сотрудничать с АНБ.
Никакой конкретики у Каспёрского-лаб так и не нашёл...
Ага. И на основании чего они сделали вывод о том, что шпионаж в пользу США...
 

Drink

Активный пользователь
Сообщения
1,057
Симпатии
751
#9
Контрольная сумма где хранится?
В firmware.
один из вендоров может сотрудничать с АНБ
Легко.
--
Ни одного примера работы вируса с firmware диска Каспер не приводит. Документ на английском языке только, почему-то...
подсовываем трой в виде обновления прошивки
тогда и обновлять придётся по-теневому, т.к. сами диски у всех производителей не обновляются, только вручную те, у кого обновление есть в доступе на сайте вендора.
Если только сам вендор не кормит прошивками, уже модифицированными с согласия АНБ. На заводе - по просьбе АНБ? :Scratch One S Head::Shok:
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#10
Если только сам вендор не кормит прошивками, уже модифицированными с согласия АНБ. На заводе - по просьбе АНБ?
Лично я так и понял, прочитав в самом начале эту статью.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,692
Симпатии
5,593
#11

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#12
Тут накануне было событие
В полицию Петербурга сегодня, 7 февраля, поступило заявление о хищении жестких дисков из офиса компании «Специальные технологии», производящей аппаратуру по лицензии ФСБ.

Как стало известно «Фонтанке», представитель «Специальных технологий» пришел в УМВД Московского района около 16:00 и сообщил, что неизвестные пробрались в офис на площади Конституции, 2, и вынули из всех 62 компьютеров жесткие диски с информацией. Заявление полиция зарегистрировала.

Компания «Специальные технологии» занимает уникальное место на рынке «шпионской» аппаратуры, имея бессрочную лицензию УФСБ Петербурга и области на разработку, производство и реализацию специальных технических средств для негласного получения информации.

«Специальные технологии» одновременно находятся в центре двух скандалов. Генеральный директор Михаил Серов обвиняется в сексуальной связи с несовершеннолетними и в данный момент находится в бегах в статусе заочно арестованного судом Саратова. В его отсутствие была совершена попытка захвата «Специальных технологий», о чем полиция также уведомлена.
 
Последнее редактирование:

Drink

Активный пользователь
Сообщения
1,057
Симпатии
751
#13
Пройти контроллер ещё надо, командой download microcode, и чтобы контроллер регистры выставил, а у всех разный алгоритм... Вообщем, вопросов много. То плагин, то ужё firmware...
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,586
#14
один из вендоров может сотрудничать с АНБ
Не ребят, компания с ними не может сотрудничать на таком уровне, т.к. при обнаружении слежки она так себя скомпрометирует, что станет банкротом. Вы станете после этого покупать диски этой компании? Даже если они скажут что микропрошивки были внедрены "точечно". Не станете ибо не сможете сказать наверняка что точечно не следят за вами или за гос.органами вашей страны. Вряд ли руководство компании стогласится на такой риск, при этом тут уже не сыграет роль что заказ финансировала АНБ, они от этого открестятся, т.к. по сути(гипотетически предположим что это правда) нужная инфа ими уже получена, дальше они просто мониторят компы и всё. А закон на невторжение в личную частную жизнь и шпионаж за государством в пользу другой страны никто не отменял... Засудят и даже если оправдаются, пятно не отмоется, они станут банкротами.

Скорее всего здесь банальная красиво написаная пропагандисткая статья, даже даны наколки, Иран, программа по обогащению урана, ну какой стране это всё интересно? Правильно CLLIA. Всё грамотно.
 
Последнее редактирование:

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#15
http://russian.rt.com/article/74891
По мнению зампреда комитета Совета Федерации по конституционному законодательству Константина Добрынина, обнаружение «Лабораторией Касперского» шпионских программ, предположительно связанных с АНБ, свидетельствует об эффективности российских систем кибербезопасности.

«Сам факт того, что мы об этом превентивно узнали и вычислили сам источник прямой и явной угрозы, говорит о том, что есть ещё порох в пороховницах, а наши системы кибербезопасности достаточно эффективны и способны на равных бороться с главным разведывательным монстром современного мира», - приводит РИА Новости слова Добрынина.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#16
Если только сам вендор не кормит прошивками, уже модифицированными с согласия АНБ. На заводе - по просьбе АНБ?
нет, перепрошивали на компьютерах пользователей.
смотреть PDF отчёт страница №12
Fanny used two zero-day exploits, which were later uncovered during the discovery of Stuxnet. To spread, it used the Stuxnet LNK exploit and USB sticks. For escalation of privilege, Fanny used a vulnerability patched by the Microsoft bulletin MS09-025, which from 2009 was also used in one of the early versions of Stuxnet.
То есть используется уязвимость через LNK ярлыки на флешках. Тем же есть и скрин под названием
LNK exploit as used by Fanny
.
А также смотрим страницу №33
Name _SD_IP_CF.dll - unknown
MD5 03718676311de33dd0b8f4f18cffd488
Type DoubleFantasy installer + LNK exploit package
А связь с USA уже легко можно предположить из того, что доподлинно известно, что Stuxnet создали именно они.
Анализ библы, на VT https://www.virustotal.com/ru/file/...9c26149eef2960500b2177c736c5c846035/analysis/
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#18

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#20
Страница №18, вот ещё немного про то как происходит заражение (кстати общую схему заражение можно посмотреть на скринах)
The main function to refash the HDD frmware receives an external payload, which can be compressed by LZMA. The disk is targeted by a specifc serial number and reprogrammed by a series of ATA commands. For example, in the case of Seagate drives, we see a chain of commands: “FLUSH CACHE” (E7) → “DOWNLOAD MICROCODE” (92) → “IDENTIFY DEVICE” (EC) → WRITE “LOG EXT” (3F). Depending on the refashing request, there might be some unclear data manipulations written to the drive using “WRITE LOG EXT” (3F). For WD drives, there is a sub-routine searching for ARM NOP opcodes in read data, and then used further in following writes. Overall, the plugin uses a lot of undocumented, vendor-specifc ATA commands, for the drives mentioned above as well as all the others. The EQUATION group’s HDD frmware reprogramming module is extremely rare. During our research, we’ve only identifed a few victims who were targeted by this module. This indicates that it is probably only kept for the most valuable victims or for some very unusual circumstances.
Ещё интересное из отчёта
These attacks were delivered in several ways – for example, while the user visited a number of Islamic Jihadist discussion forums, or via advertisements on popular websites in the Middle East.
The forums in question appear to have been compromised by a specifc PHP script that exploited only authenticated visitors. We were able to obtain one of these PHP scripts embedded in a discussion forum:
То есть если пользователь заражённой машины посещает сайты посвящённые Исламскому Джихату или с рекламой популярной на Ближнем Востоке, то форумы будут скомпрометированы с помощью специально PHP скрипта, который используется только для авторизованных посетителей.
 
Сверху Снизу