Niezniszczalne szkodliwe oprogramowanie grupy Equation

Zespół GReAT firmy Kaspersky Lab opublikował niedawno badanie na temat aktywności grupy cyberszpiegowskiej Equation, które ujawniło kilka technologicznych ciekawostek. Ta potężna grupa hakerska stworzyła kompleksową serię szkodliwych „implantów”. Najbardziej interesujące jest jednak to, że szkodliwe oprogramowanie zostało wyposażone w możliwość przeprogramowania zainfekowanego dysku twardego tak, aby wspomniane „implanty” były niewidoczne i niemal niezniszczalne.

Jedna z krążących od dawna przerażających historii związanych z bezpieczeństwem komputerowym mówi o wirusie, który jest nierozerwalnie związany z osprzętem komputera. Przez wiele lat wątek ten był traktowany jako legenda, ale teraz wygląda na to, że ktoś był w stanie wydać miliony dolarów, aby pomysł się urzeczywistnił. Niektórzy dziennikarze tworzą  historie, jak to grupa Equation umożliwia hakerom „podsłuchiwanie większości komputerów na świecie„. Jednak, chcemy obniżyć nieco poziom ekscytacji, bowiem ta możliwość pozostanie tak rzadka, jak pandy przechodzące przez ulicę.

Na początku wyjaśnijmy, co to jest „przeprogramowanie firmware’u dysku twardego”. Dysk twardy składa się z dwóch kluczowych składników – nośnika pamięci (dyski magnetyczne w klasycznych dyskach HDD lub czipy pamięci flash w SSD) oraz mikroczipa, który kontroluje odczyt i zapis na dysku, jak również wykonuje wiele czynności serwisowych, np. wykrywa i eliminuje błędy. Czynności tych jest wiele i są one skomplikowane, a wszystkie są nadzorowane i wykonywane przez wspomniany czip. Mówiąc w skrócie, jest on małym komputerem. Program czipa nosi nazwę firmware, a producent dysku twardego może go aktualizować, czyli korygować wykryte błędy lub zwiększać wydajność.

Mechanizm ten został wykorzystany przez grupę Equation, która zapisała swój własny firmware na dyski twarde należące do 12 różnych „kategorii” (dostawcy/modele). Funkcje tego zmodyfikowanego firmware’u pozostają nieznane, wiadomo tylko, że szkodliwe oprogramowanie ma możliwość zapisu i odczytu danych na i z określonego obszaru dysku twardego działającego w zainfekowanym komputerze. Zakładamy, że ten obszar staje się całkowicie niewidoczny z poziomu systemu operacyjnego, a nawet dla specjalistycznego oprogramowania kryminalistycznego. Dane w tym obszarze mogą przetrwać formatowanie dysku twardego, a firmware teoretycznie może ponownie zainfekować obszar rozruchowy dysku twardego, infekując nowo zainstalowany system operacyjny już na samym początku. Aby jeszcze bardziej skomplikować sytuację, przeprogramowanie i sprawdzanie firmware’u jest wykonywane przez niego samego, więc niemożliwe jest zweryfikowanie jego integralności ani rzetelne ponowne załadowanie go na komputerze. Innymi słowy, gdy dojdzie do infekcji, oprogramowanie dysku twardego jest niewykrywalne i niemal niezniszczalne. Łatwiej i taniej jest wyrzucić podejrzany dysk i kupić nowy.

Ale spokojnie, nie szukaj w pośpiechu śrubokręta – nie podejrzewamy, że ta infekcja stanie się popularna. Prawdopodobnie sama grupa Equation użyła jej zaledwie kilka razy, ponieważ moduł wirusa na dysku HDD bardzo rzadko wystąpił w systemach ofiar. Dla osób niewtajemniczonych: przeprogramowanie dysku twardego jest dużo bardziej skomplikowane niż napisanie, powiedzmy, oprogramowania dla Windows. Każdy model dysku twardego jest unikatowy, a stworzenie alternatywnego firmware’u jest bardzo drogie i pracochłonne. Atakujący musi uzyskać wewnętrzną dokumentację producenta dysku twardego (co jest prawie niemożliwe), kupić kilka dysków dokładnie tego samego modelu, rozwijać i testować daną funkcjonalność, a na końcu wpasować szkodliwe zadania w istniejący firmware, zachowując przy tym jego pierwotne działanie. Jest to inżynieria na wysokim poziomie, która wymaga miesięcy poświęconych na rozwój i milionów przeznaczonych na inwestycję. Z tego powodu nie jest możliwe, aby używać tego rodzaju technologii kradzieżowych w przestępczym szkodliwym oprogramowaniu albo nawet większości ataków ukierunkowanych. Ponadto rozwój firmware’u jest podejściem na małą skalę i nie da się go tak łatwo rozpowszechnić. W każdym miesiącu wielu producentów publikuje aktualizacje do firmware’u dla różnych swoich dysków, ciągle pojawiają się nowe modele, a hakowanie każdego z nich jest przerostem chęci nad możliwościami – tak dla grupy Equation, jak i dla każdego innego.

A zatem, morał z tej historii jest taki, że szkodliwe oprogramowanie infekujące dyski HDD nie jest już wprawdzie legendą, ale przeciętny użytkownik nie musi czuć się zagrożony. Więc nie rozbijaj swojego dysku młotkiem, chyba że pracujesz w irańskim przemyśle jądrowym. Swoją uwagę zwracaj raczej na mniej ekscytujące, ale bardziej prawdopodobne zagrożenia – słabe hasła czy nieaktualnego antywirusa.