Выявлено шпионское ПО, скрывающееся в прошивках жестких дисков

17 февраля 2015 года

Лаборатория Касперского сообщила ( PDF(недоступная ссылка)) о выявлении нового класса вредоносного ПО, нацеленного на организацию кибершпионажа и кражу данных пользователей, примечательного глубокой степенью маскировки. Для скрытия компонентов вредоносного ПО применялась техника модификации прошивок жестких дисков Western Digital, Seagate, Samsung, Hitachi, Toshiba, Maxtor и IBM.

Вредоносное ПО поражало только системы на базе платформы Windows и было выявлено на более чем 500 системах в 42 странах. Наиболее активное использование вредоносного ПО зафиксировано в Иране, России, Китае, Сирии и Пакистане. Атакам были подвержены финансовые, правительственные, военные, исследовательские, дипломатические и другие учреждения. Сообщается о нескольких вариантах подобного вредоносного ПО, сборки которых датированы с 2001 по 2011 год. Заражение производится с использование традиционных методов, через автозапуск кода с внешних носителей или через эксплуатацию неисправленных уязвимостей в браузерах и сетевом ПО. После проникновения в систему осуществляется модификация прошивки поддерживаемых жестких дисков, что позволяет скрыть наличие вредоносного кода и организовать его запуск на ранних стадиях загрузки.

Внедрение вредоносного кода ассоциируется с группой Equation, которая связывается с деятельностью Агентства Национальной Безопасности США, но подобная связь основывается лишь на догадках и косвенных данных (например, указывается на использование технологий и методов, схожих с используемыми в вредоносном ПО Stuxnet и Flame, а также упоминаются утечки сведений о разработке в АНБ методов внедрения вредоносного ПО в прошивки). В статье также предполагается, что, вероятно, АНБ получило доступ к исходным текстам прошивок накопителей, так как без исходного кода практически невозможно организовать подстановку в прошивку своего кода. Но подобные утверждения расходятся с практикой, например, энтузиастами уже продемонстрированы методы внедрения кода в прошивки USB-накопителей и MicroSD-карт, используя обычный инструментарий для обратного инжиниринга.

Технология UEFI Secure Boot в целом решает проблему модификации загрузчика операционной системы, но приводит к появлению интереса к проведению атак через замену прошивки UEFI. Для того, чтобы защитить пользователей от подмены компонентов, работающих до применения UEFI Secure Boot, компания Intel предложила технологию «Boot Guard», при помощи которой производитель оборудования имеет возможность верифицировать целостность прошивки по добавленному в CPU хэшу открытого ключа. Подобная система повышает безопасность, но делает невозможным замену проприетарных прошивок BIOS/UEFI на открытый вариант CoreBoot.

Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux, в своё время получивший от Фонда СПО премию за вклад в развитие свободного ПО за достижения в области обеспечения загрузки Linux на системах с UEFI Secure Boot, прокомментировал в своём блоге появление новой возможности тем, что проблема не так проста как кажется и в основном связана с дилеммой перед производителями компьютеров, которым приходится выбирать между безопасностью и свободой. Понимая, что смена прошивки может потребоваться лишь небольшой группе энтузиастов, не удивительно, что выбор делается в пользу безопасности по умолчанию. Решить проблему можно убедив производителей, что свобода распоряжаться своим оборудованием не менее важна, чем безопасность, и пользователю следует предоставить возможность выбора при покупке оборудования.