Destruir o HD é a única maneira de conter o spyware da NSA

Destruir o HD é a única maneira de conter o spyware da NSA

Ontem noticiamos a bomba envolvendo a NSA e os fabricantes de discos rígidos, um spyware plantado por um grupo ligado a agência está afetando a segurança de HDs dos maiores fabricantes dessas unidades, empresas como Seagate, Western Digital, IBM, Toshiba, Samsung e Maxtor estão com suas unidades sob os olhares intrusivos da agência.

E para piorar esse panorama de acordo com o relatório divulgado pelo laboratório do Kaspersky e única forma de conter o malware é simplesmente destruindo o HD, já que a ameaça infecta o firmware do disco rígido, ou seja o código de baixo nível que atua como uma interface entre o hardware e o software.

O malware que está circulando pelos HDs de diversos fabricantes reprograma o firmware do disco rígido, criando setores ocultos na unidade que só podem ser acessados através de uma API secreto. Uma vez instalado, a ameaça é impossível de ser removido, a formatação do disco ou reinstalação do sistema operacional não afeta a ameaça, e o setor contaminado permanece ativo.

“Teoricamente, nós estávmos cientes dsta possiblidade, mas, tanto quanto eu sei que este é o único caso de um atacante ter uma capacidade tão incrivelmente avançada”- Costin Raiu, diretor da equipe de pesquisa e análise global da Kaspersky

As unidades de armazenamento feitas pela Seagate, Western Digital. Hitachi, Samsung e Toshiba podem ter seu firmware modificados através de duas ameaças, o Equationdrug e o Grayfish.

  • Equationdrug: Plataforma de ataque muito complexa usada pelo grupo em suas vítimas. Ele suporta um sistema de plugins por módulo, que podem ser dinamicamente carregado e descarregado pelo atacante. 
  • Grayfish: Plataforma de ataques mais sofisticada até então. Ele reside completamente no registro, contanto com uma bootkit para ganhar execução na inicialização do sistema operacional.

A situação é realmente dramática, de acordo com o relatório do laboratório da Kaspersky o grupo ligado aos malwares tem conhecimento total das unidades que vão muito além da documentação pública lançada pelos fornecedores. O grupo conhece o conjunto de comandos ATA exclusivos usados pelos vendedores de disco rígido para formatar seus produtos. A maioria dos comandos ATA são públicos, já que eles compreendem e garantem um padrão para que o disco rígido seja compatível com qualquer fabricante dessas unidades.

O diretor do laboratório enfatiza o poder de fogo do grupo, de acordo com Raiu a capacidade de reprogramar o firmware de apenas um tipo de unidade já seria extremamente complexo, ser capaz de fazer isso com firmware de diversos fabricantes é quase impossível. Para ser honesto, eu não acho que exista outro grupo no mundo que tenha essa capacidade, completou Raiu.

O grupo The Equation também utilizou técnicas de interdição semelhantes as práticas utilizadas pela NSA, a firma de entregar softwares maliciosos para o grupo. A NSA está envolvida em tudo isso justamente porque o The Equation tem ligação direta (ou talvez sejam os mesmos) com o grupo que projetou o Stuxnet, worm descoberto em 2010 usado para sabotar as operações de enriquecimento de urânio do Irã, além das semelhanças técnicas com documentos da NSA ultrassecretos que vazaram em 2013, e com todo o  retrospecto tirano que a agência tem, provavelmente a NSA é o cabeça por trás disso tudo, e o grupo está praticamente agindo como um “laranja” para encobrir as falcatruas da agência americana.

O Kaspersky descobriu a fuga do grupo The Equation depois de investigar um computador pertencente ao instituto de pesquisa no Oriente Médio. Raiu disse que a máquina tinha amostras de APT (advanced persistent threat) francês, russo e espanhol. A máquina também tinha um driver malicioso estranho, e que após a investigação, conseguiram acesso a extensa infraestrutura de comandos e controle usado pelo Equation.

Fonte(s): PC World

Sobre o Autor

Editor-chefe no Hardware.com.br, aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Leia mais
Redes Sociais:

Deixe seu comentário

X