NSA Szpieguje nas przez micro-oprogramowanie na dyskach twardych

Reading Time: 8 minutes

NSA Szpieguje nas przez oprogramowanie zaimplementowane na dyskach twardych W jaki sposób działa oprogramowanie szpiegowskie

Jedną z najbardziej szokujących części niedawno odkrytej sieci szpiegującej Equation Group jest jej tajemniczy moduł przeznaczony do przeprogramowania lub aktualizacji oprogramowania wewnętrznego dysku twardego komputera złośliwym kodem. Naukowcy z Kaspersky Lab, którzy odkryli to, powiedzieli, że jego zdolność do niszczenia oprogramowania układowego dysku twardego – wnętrzności jakiegokolwiek komputera – “przewyższa wszystko, co kiedykolwiek widzieli”.

NSA Spy

Narzędzie hakerskie, uważane za produkt NSA, jest znaczące, ponieważ podważanie oprogramowania układowego daje atakującym kontrolę nad systemem w sposób, który jest ukradkowy i trwały nawet poprzez aktualizacje oprogramowania. Moduł o nazwie “nls_933w.dll” jest pierwszym tego rodzaju w środowisku naturalnym i jest używany z platformami szpiegującymi EquationDrug i GrayFish, które Kaspersky odkrył.

Ma również inną możliwość: stworzyć niewidoczne miejsce na dysku twardym, aby ukryć skradzione dane z systemu, aby napastnicy mogli je odzyskać później. Dzięki temu szpiedzy tacy jak Equation Group mogą ominąć szyfrowanie dysku, wydzielając dokumenty, które chcą zająć w obszarach, które nie są szyfrowane.

Kaspersky do tej pory odkrył 500 ofiar Equation Group, ale tylko pięć z nich miało moduł flashowania oprogramowania w swoich systemach. Moduł flashowania oprogramowania jest prawdopodobnie zarezerwowany dla znaczących systemów, które stanowią szczególne wyzwania w zakresie nadzoru. Costin Raiu, dyrektor Globalnego zespołu badawczo-analitycznego Kaspersky, uważa, że ​​są to komputery o dużej wartości, które nie są podłączone do Internetu i są chronione za pomocą szyfrowania dysku.

Oto, co wiemy o module flashowania oprogramowania.

Jak to działa

Dyski twarde mają kontroler, zasadniczo mini-komputer, który zawiera układ pamięci lub pamięć flash ROM, w której znajduje się kod oprogramowania sprzętowego do obsługi dysku twardego.

Kiedy maszyna jest zainfekowana przez EquationDrug lub GrayFish, moduł flashowania oprogramowania układowego zostaje zdeponowany w systemie i dociera do serwera poleceń, aby uzyskać kod ładunku, który następnie fleszuje oprogramowania, zastępując istniejące oprogramowanie układem złośliwym. Naukowcy odkryli dwie wersje modułu flasher: jeden, który wydaje się być skompilowany w 2010 roku i jest używany z EquatinoDrug i jeden z datą kompilacji 2013, która jest używana z GrayFish.

MODNE TERAZ

Trojanowe oprogramowanie układowe umożliwia atakującym pozostanie w systemie nawet po aktualizacji oprogramowania. Jeśli ofiara, która myśli, że jej komputer jest zainfekowany, wyczyści system operacyjny komputera i zainstaluje go ponownie w celu wyeliminowania złośliwego kodu, złośliwy kod oprogramowania mimo wszystko pozostanie nietknięty. Następnie może skontaktować się z serwerem poleceń, aby przywrócić wszystkie inne złośliwe składniki, które zostały wyczyszczone z systemu.

Nawet jeśli samo oprogramowanie zostanie zaktualizowane o wydanie nowego dostawcy, złośliwy kod oprogramowania układowego może nadal występować, ponieważ niektóre aktualizacje oprogramowania układowego zastępują tylko części oprogramowania układowego, co oznacza, że ​​złośliwe części mogą nie zostać nadpisane przez aktualizację. Jedynym rozwiązaniem dla ofiar jest wyrzucenie ich dysku twardego i rozpoczęcie od nowa.

Atak działa, ponieważ oprogramowanie nigdy nie było zaprojektowane z myślą o bezpieczeństwie. Twórcy dysków twardych nie podpisują kryptograficznie oprogramowania układowego, które instalują na dyskach, tak jak robią to producenci oprogramowania. Również projekty dysków twardych nie mają wbudowanego uwierzytelniania w celu sprawdzenia podpisanego oprogramowania układowego. Umożliwia to komuś zmianę oprogramowania. Oprogramowanie układowe jest idealnym miejscem do ukrywania złośliwego oprogramowania, ponieważ skanery antywirusowe go nie analizują. Nie ma również łatwego sposobu, aby użytkownicy mogli przeczytać oprogramowanie i ręcznie sprawdzić, czy został on zmieniony.

Moduł flashowania oprogramowania wewnętrznego może przeprogramować oprogramowanie kilkunastu różnych marek dysków twardych, w tym IBM, Seagate, Western Digital i Toshiba.

“Wiesz, ile wysiłku potrzeba, aby wylądować tylko jedno oprogramowanie na dysku twardym? Musisz znać specyfikacje, procesor, architekturę oprogramowania wewnętrznego, jak to działa,” mówi Raiu. Naukowcy z Kaspersky Lab nazwali to “zadziwiającym osiągnięciem technicznym i są świadectwem zdolności grupy”.

Po zastąpieniu oprogramowania układowego wersją trojanizowaną moduł flasher tworzy interfejs API, który może komunikować się z innymi złośliwymi modułami w systemie, a także uzyskiwać dostęp do ukrytych sektorów dysku, na których atakujący chcą ukryć dane, które zamierzają ukraść. Ukrywają te dane w tak zwanym obszarze usług dysku twardego, na którym twardy dysk przechowuje dane potrzebne do jego wewnętrznego działania.

Ukryty schowek to Święty Graal

Objawienie, że włamanie do oprogramowania wbudowanego pomaga w przechowywaniu danych, które napastnicy chcą ukraść, nie miało większego wpływu, gdy historia wybuchła w zeszłym tygodniu, ale jest to najważniejsza część ataku hakerskiego. Pojawia się także szereg pytań o to, jak dokładnie atakujący ją odciągają. Bez faktycznej kopii oprogramowania wbudowanego, które trafia do zainfekowanych systemów, wciąż jest wiele informacji o ataku, ale niektóre z nich można przypuszczać.

Układ ROM zawierający oprogramowanie układowe zawiera niewielką ilość pamięci, która nie jest używana. Jeśli układ ROM ma 2 megabajty, oprogramowanie układowe może zajmować zaledwie 1,5 megabajta, pozostawiając pół megabajta niewykorzystanej przestrzeni, którą można wykorzystać do ukrycia danych, które napastnicy chcą ukraść.

Jest to szczególnie przydatne, jeśli komputer ma włączone szyfrowanie dysku. Ponieważ złośliwe oprogramowanie EquationDrug i GrayFish działa w systemie Windows, mogą pobrać kopię dokumentów, gdy są one niezaszyfrowane i zapisać je w tym ukrytym obszarze na komputerze, który nie zostanie zaszyfrowany. Na chipie nie ma jednak zbyt wiele miejsca na wiele danych lub dokumentów, więc atakujący mogą po prostu przechowywać coś równie wartościowego, aby ominąć szyfrowanie.

“Biorąc pod uwagę fakt, że ich implant GrayFish jest aktywny od samego początku systemu, mają możliwość przechwycenia hasła szyfrowania i zapisania go w tym ukrytym obszarze” – mówi Raiu.

Władze mogą później złapać komputer, być może poprzez interwencję graniczną lub coś, co NSA nazywa “możliwościami celnymi”, i wyodrębnić hasło z tego ukrytego obszaru, aby odblokować zaszyfrowany dysk.

Raiu sądzi, że zamierzone cele takiego schematu są ograniczone do maszyn, które nie są podłączone do Internetu i mają zaszyfrowane dyski twarde. Jedna z pięciu znalezionych maszyn trafiła z modułem flashe do wbudowania oprogramowania bez połączenia z Internetem i została wykorzystana do specjalnej bezpiecznej komunikacji.

“[Właściciele] używają go tylko w bardzo szczególnych przypadkach, gdy nie ma na to innego sposobu” – mówi Raiu. “Pomyśl o Bin Ladenie, który mieszkał na pustyni w odizolowanym kompleksie – nie ma internetu i nie ma śladu elektronicznego, więc jeśli chcesz uzyskać informacje z jego komputera, jak je dostaniesz? Dostajesz dokumenty do ukrytego obszaru i czekasz, a potem po jednym lub dwóch latach wracasz i kradniesz to. Korzyści [z używania tego] są bardzo specyficzne. “

Raiu uważa jednak, że atakujący mają na myśli lepszy plan. “W przyszłości prawdopodobnie chcą przenieść go na wyższy poziom, gdzie po prostu kopiują wszystkie dokumenty [do ukrytego obszaru] zamiast hasła. [Następnie] w pewnym momencie, kiedy mają możliwość fizycznego dostępu do system, mogą wtedy uzyskać dostęp do tego ukrytego obszaru i uzyskać niezaszyfrowane dokumenty. “

Nie potrzebowaliby hasła, gdyby mogli skopiować cały katalog z systemu operacyjnego do ukrytego sektora, aby uzyskać dostęp do niego później. Ale układ flash, w którym znajduje się oprogramowanie sprzętowe, jest zbyt mały dla dużych ilości danych. Tak więc napastnicy będą potrzebować większej ukrytej przestrzeni do przechowywania. Na szczęście dla nich istnieje. W obszarze serwisowym dysku twardego znajdują się duże sektory, które również nie są używane i można zarekwirować je do przechowywania dużej pamięci podręcznej dokumentów, nawet tych, które mogły zostać usunięte z innych części komputera. Ten obszar usług, zwany również zarezerwowanym, jest obszarem systemowym, przechowuje oprogramowanie sprzętowe i inne dane potrzebne do obsługi napędów, ale zawiera również duże porcje niewykorzystanego miejsca.

Ciekawy artykuł (.pdf) opublikowany w lutym 2013 r. Przez Ariel Berkman, specjalistę od odzyskiwania danych w izraelskiej firmie Recover, zauważył: “nie tylko te obszary nie mogą być oczyszczone (za pomocą standardowych narzędzi), nie można uzyskać dostępu oprogramowanie antywirusowe [lub] komputerowe narzędzia kryminalistyczne. “

Berkman zwraca uwagę, że jeden konkretny model dysków Western Digital ma 141 MB zarezerwowanych dla obszaru usług, ale wykorzystuje tylko 12 MB tego, pozostawiając resztę wolną do przechowywania ukrytego.

Aby pisać lub kopiować dane do obszaru usług, wymagane są specjalne polecenia, które są specyficzne dla każdego dostawcy i nie są publicznie udokumentowane, więc osoba atakująca musi odkryć, co to jest. Ale kiedy już to zrobią, “wysyłając szczegółowe polecenia producenta (VSC) bezpośrednio na dysk twardy, można manipulować tymi obszarami [usług], aby odczytać i zapisać dane, które w przeciwnym razie byłyby niedostępne”, pisze Berkman. Możliwe jest również, choć nie banalne, napisanie programu do automatycznego kopiowania dokumentów do tego obszaru. Sam Berkman napisał program sprawdzający koncepcję odczytu i zapisu pliku o rozmiarze do 94 MB do obszaru usług, ale program był nieco niestabilny i zauważył, że może to spowodować utratę danych lub awarię dysku twardego .

Jednym z problemów związanych z ukrywaniem dużych ilości danych jest to, że jego obecność może zostać wykryta przez zbadanie rozmiaru wykorzystanej przestrzeni w obszarze usług. Jeśli w tym sektorze powinno być 129 MB niewykorzystanego miejsca, ale jest tylko 80 MB, to martwy gratis, że coś tam jest, czego nie powinno być. Ale wyciekły dokument NSA, który został napisany w 2006 roku, ale został opublikowany w zeszłym miesiącu przez Der Spiegel sugeruje, że agencja szpiegowska mogła rozwiązać ten konkretny problem.

NSA Interns to the Rescue

Dokument (.pdf) jest w istocie listą życzeń przyszłych zdolności szpiegowskich, które NSA miała nadzieję rozwinąć z powodu tzw. Dywizji Wytrwałości, dywizji, w której znajduje się zespół ataków skupiający się na ustalaniu i utrzymywaniu uporczywości na zaatakowanych maszynach poprzez podważanie ich oprogramowanie układowe, BIOS, BUS lub sterowniki. Dokument wymienia szereg projektów, które NSA przygotował dla stażystów do walki w imieniu tego zespołu ataku. Wśród nich jest projekt “Covert Storage” do opracowania implantu oprogramowania układowego dysku twardego, który może zapobiec wykryciu ukrytej przestrzeni dyskowej. W tym celu implant uniemożliwia systemowi ujawnienie rzeczywistej ilości wolnego miejsca dostępnego na dysku.

“Chodzi o to, aby zmodyfikować oprogramowanie układowe określonego dysku twardego, tak aby zazwyczaj rozpoznawało, powiedzmy, połowę dostępnego miejsca” – czytamy w dokumencie. “Zgłasza ten rozmiar z powrotem do systemu operacyjnego i nie zapewnia żadnego dostępu do dodatkowej przestrzeni.” Tylko jedna partycja dysku byłaby widoczna na tablicy partycji, pozostawiając pozostałe partycje – gdzie ukryte dane były przechowywane – niewidoczne i niedostępne.

Zmodyfikowane oprogramowanie sprzętowe miałoby wbudowany specjalny hak, który odblokowałby tę ukrytą przestrzeń pamięci dopiero po wysłaniu niestandardowego polecenia na dysk i ponownym uruchomieniu komputera. Ukryta partycja byłaby wówczas dostępna w tabeli partycji i dostępna, dopóki tajne miejsce przechowywania nie zostanie ponownie zablokowane za pomocą innego niestandardowego polecenia.

To, jak dokładnie agencja szpiegowska planowała odzyskać ukryte dane, było niejasne z ośmioletniego dokumentu. Nie jest również jasne, czy stażyści kiedykolwiek wyprodukowali implant oprogramowania, który spełnił to, czego poszukiwała NSA. Biorąc jednak pod uwagę fakt, że dokument zawiera notatkę, że od stażystów oczekuje się opracowania rozwiązania dla ich projektu w ciągu sześciu miesięcy po przydzieleniu, a biorąc pod uwagę sprawdzoną pomysłowość NSA w innych sprawach, bez wątpienia to wymyślili.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *