Firmware de v├írios tipos de discos r├şgidos foi modificado com malware

Uma equipe de ciberespionagem extremamente avan├žada, chamada Equation, modificou seu firmware de hardware, possivelmente infectando milhares de computadores em ├íreas sens├şveis de atividade em todo o mundo.

Firmware de discos r├şgidos - MalwareA lista de unidades de armazenamento com defeito inclui dispositivos fabricados por: Seagate, Western Digital, Toshiba, Maxtor, Micron, Samsung e IBM.

Entre as ferramentas usadas pela equipe est├í um m├│dulo chamado “nls_933w.dll”, que visa “reprogramar o firmware para v├írias marcas diferentes de discos r├şgidos”.

A Kaspersky diz que este m├│dulo ├ę talvez o mais poderoso usado e representa uma conquista t├ęcnica que demonstra o n├şvel de complexidade dos recursos da equipe.

Ao implantar a infec├ž├úo no firmware do disco r├şgido, a Equation garantiu sua perman├¬ncia no sistema at├ę a unidade de armazenamento ser substitu├şda, pois a limpeza do disco r├şgido e / ou a reinstala├ž├úo do sistema operacional n├úo teriam efeito e a infec├ž├úo existir├í.

Os pesquisadores identificaram dois m├│dulos maliciosos que poderiam reprogramar o firmware do disco r├şgido, um dos quais foi escrito em 2013 e est├í na plataforma maliciosa GrayFish e pode afetar pelo menos 12 marcas.

A primeira vers├úo foi detectada na plataforma EquationDrug e os pesquisadores encontraram uma data de aposentadoria a partir de 2010. Envolveu um total de seis marcas de discos r├şgidos.

A reprograma├ž├úo de dispositivos de software permite que os cibercriminosos criem um espa├žo de armazenamento de dados oculto isolado do sistema operacional e que s├│ possa ser acessado por m├ętodos especiais criados por eles.

As unidades afetadas s├úo usadas pelo governo e miss├Áes diplom├íticas, empresas de telecomunica├ž├Áes, organiza├ž├Áes que operam em ├íreas como aeroespacial, energia, pesquisa nuclear, petr├│leo e g├ís, militares, nanotecnologia, transporte e finan├žas. ou ag├¬ncias que desenvolvem tecnologias de criptografia.

Os pesquisadores de seguran├ža descobriram evid├¬ncias de que a equipe da Equation cita as pe├žas de malware coletadas em 2002, embora o servidor Command & Control (servidor C&C) usado para transmitir os dados tenha sido registrado em 2001. No entanto, eles tamb├ęm descobriram que outras C Os servidores de C e C usados ÔÇőÔÇőpela equipe s├úo registrados desde 1996, sugerindo que a equipe est├í ativa h├í quase 20 anos.

Um total de seis cavalos de Tr├│ia foi identificado por pesquisadores (chamados EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny e GrayFish da Kaspersky), mas ├ę prov├ível que seus n├║meros sejam maiores.

Em um post de blog na segunda-feira, Kaspersky disse que a Equation fez parceria com equipes por tr├ís do Stuxnet e Flame, “sempre em uma posi├ž├úo superior, pois tinham acesso a explora├ž├Áes mais cedo do que outras”.

A conex├úo com os oficiais do Stuxnet foi descoberta no worm Fanny, que foi detectado em dezembro de 2008. Fanny usa duas das explora├ž├Áes do dia zero como uma ferramenta para atacar a usina nuclear iraniana em Natanz. Al├ęm disso, a Fanny se espalhou pelo kit de explora├ž├úo LNK usado no ataque Stuxnet.

├ë importante observar que as explora├ž├Áes foram incorporadas primeiro ao Fanny e depois observadas nas primeiras edi├ž├Áes do Stuxnet. Isso mostra que a equipe da Equation teve acesso ├ás falhas de seguran├ža antes da equipe por tr├ís do Stuxnet.

O fato de os v├írios worms terem usado as mesmas explora├ž├Áes quase ao mesmo tempo leva ├á conclus├úo de que os membros da equipe da Equation e os desenvolvedores do Stuxnet s├úo as mesmas pessoas ou colaboram, disse Kaspersky.

Acredita-se que o Stuxnet fa├ža parte de um esfor├žo conjunto entre a NSA, a CIA e a contra-intelig├¬ncia israelense. A Kaspersky n├úo atribui isso a sua an├ílise, mas menciona detalhes que levam a ferramentas inclu├şdas em uma lista de utilit├írios vazados usados ÔÇőÔÇőpela NSA.