Офтоп
TJ

«Лаборатория Касперского»: АНБ следило за Россией и Китаем, встраивая вирусы в жёсткие диски Статьи редакции

Автор: Геннадий Заволокин

Агентство национальной безопасности США научилось встраивать шпионское программное обеспечение в жёсткие диски, сделанные Western Digital, Seagate, Toshiba и другими ведущими производителями, таким образом получая доступ к информации с большинства компьютеров в мире. Об этом сообщает Reuters со ссылкой на исследование «Лаборатории Касперского».

Специалистам «Лаборатории» удалось выявить компьютеры, содержащие подобные программы, в 30 странах мира. Наибольший процент пришёлся на Иран, Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир. Основной целью были правительственные и военные учреждения, телекоммуникационные компании, банки, энергетические компании; организации, занимающиеся ядерными исследованиями, СМИ и исламские активисты.

Согласно данным исследования, вредоносное программное обеспечение способно встраиваться в ПО жестких дисков и позволяет сохранять контроль над компьютером даже в случае форматирования диска или переустановки системы.

«Лаборатория Касперского» не стала называть страну, стоящую за шпионской программой, однако подчеркнула её связь с компьютерным червем Stuxnet, разработанным для атак на объекты ядерной программы Ирана по заказу АНБ.

Бывший сотрудник Агентства подтвердил Reuters, что сделанные «Лабораторией Касперского» выводы верны. Представители АНБ отказались давать комментарии журналистам.

В середине февраля «Лаборатория Касперского» сообщила о группе хакеров, совершивших одно из крупнейших банковских ограблений в истории путём заражения компьютеров банковских организаций вирусом под названием Carbanak.

0
24 комментария
Популярные
По порядку
Написать комментарий...
Маленький бокал

Современный жесткий диск представляет собой, грубо говоря, компьютер в миниатюре: у него есть собственный процессор, энергонезависимая память, операционная система, процедуры загрузки и самотестирования и т.п. Вполне реально написать свой загрузчик, который на старте при подаче питания будет выполнять дополнительные нештатные действия. Полный доступ ко всему содержимому жесткого диска, включая системные и служебные разделы, у него, понятное дело есть. А вот для выхода во внешний мир нужно будет встраивать какие-то бэкдоры в саму ОС компа. В принципе, если объяснять вот так "на пальцах", то схема получается достаточно рабочая.

Ответить
3
Развернуть ветку
Маленький бокал

Заголовок чересчур #FFFF00

Ответить
2
Развернуть ветку
Маленький бокал

Главное, что заметка не про 50 оттенков #808080 снова.

Ответить
4
Развернуть ветку
Маленький бокал

А мне в RGB привычнее :с

Ответить
0
Развернуть ветку
Маленький бокал

последнее время Касперский просто разродился потоком разоблачений и "находок", но впечатление такое, что им просто "по дружбе" дали допуск к Сноудену. Вся информация как-то двух-трех летней выдержки :)

Ответить
2
Развернуть ветку
Маленький бокал

А по-моему Женя просто пиарится...

Ответить
0
Развернуть ветку
Маленький бокал

Я просто процитирую Roem.ru (пост был про историю с хакерской атакой на банки, которую "раскрыл" Касперский:

Мысль следующая. Современная нам Лаборатория Евгения Касперского «научилась играть в PR». Чтобы манипулировать прессой — нужно просто делать за репортёров их работу. Касперский сейчас рассказал о взломе 2013 (!) года, а произошло это через несколько часов (?), после выступления Барака Обамы. В нём президент США потребовал от бизнеса раскрывать факты произошедших у них утечек и взломов. В результате американские газеты за понедельник полны Касперского. Он хорошо ложится рядом с заметками про Обаму и даже выглядит актуальным, хотя, взломы Касперский раскрывает по миллиону в день, 365 дней в году, вот уже 2 десятка лет и никакого особенного повода писать о том, что Касперский что-то раскрыл — обычно нет. Как всегда раскрыл, не в первый раз, новости нет, печатать нечего. А оно печатается. Научились.

https://roem.ru/16-02-2015/184602/money-spit-atm/

Ответить
4
Развернуть ветку
Маленький бокал

Почему раскрыл в кавычках? Они действительно раскрыли. Все вирусы и взломы о которых они рассказывают реальны. То что они на этом пиарятся к сути проблемы отношения не имеет. NSA пишет вирусы встраивающиеся в прошивку ЖД. Так? Так.

Ответить
3
Развернуть ветку
Маленький бокал

Двойственная ситуация. Напомнило историю со статьёй Znak.com про вполне себе реальную хрестоматийную чернуху в Кировске, где снимали "Левиафана": с одной стороны, описываемые там события были, бесспорно, правдой... вот только пятилетней давности, о чём читателю сообщалось лишь в конце статьи.
Касперский, бесспорно, клёво нашёл троян (говоря именно о той истории, к которой я апеллировал), но инфоповодом это стало лишь спустя два года, и в идеально подходящий момент. Подавать как инфоповод совершенно не новые события это, строго говоря, конечно же, не обман... но как-то немного не то, не находите?

Ответить
0
Развернуть ветку
Маленький бокал

Нет не нахожу. Если к этому моменту никто другой о нём не рассказал. Зато нахожу что от этой находки бомбит обожателям военщины и они зачемто наезжают на Касперского с не относящимся к теме претензиями. Это же ad hominem, грязный демагогический приём.
- NSA пишет вирусы и встраивает их в прошивки HDD
- А по-моему Женя просто пиарится...

Ответить
1
Развернуть ветку
Маленький бокал

Вот не нужно меня упрекать в том, к чему я не причастен ни на йоту =\
Я совершенно не отношусь к описанными вами категориям граждан, и у меня вовсе не бомбит. Просто вспомнил историю, которую описал выше, не более того. Btw, это никоим образом не умаляет и не отрицает факта обнаружения трояна, вопросы касаются лишь подачи этой информации.

Ответить
0
Развернуть ветку
Маленький бокал

Хитрожопски

Ответить
1
Развернуть ветку
Маленький бокал

А можно ли технически/программно поместить скрипт, который нельзя удалить с ЖД? Не похоже на правду

Ответить
0
Развернуть ветку
Маленький бокал

Поправлю: невозможно удалить ШТАТНЫМИ СРЕДСТВАМИ.
Да, это реально. У современного HDD есть служебные области, которые не затрагиваются форматированием, например.

Ответить
11
Развернуть ветку
Маленький бокал

Никто не говорил что его нельзя удалить. Сказано что при форматировании оно не удаляется. Потому что прошивка диска хранится в отдельной памяти. Это очень правдоподобно.

Ответить
1
Развернуть ветку
Маленький бокал

Вот только, как справедливо заметили в комментах вконтактике, лежащий в служебной области памяти код сам себя не запустит (ну или я чего-то крупно не понимаю). Больше похоже на часть многосоставной системы, чем на самостоятельный эксплойт.

И, хоть, я понимаю, ТЖ это не Хабр, но, всё-таки, нельзя ли чуть глубже раскрыть тему с технической точки зрения? А то rly воспринимается как очередной громогласный пиар от Касперского.

Ответить
1
Развернуть ветку
Маленький бокал
Ответить
3
Развернуть ветку
Маленький бокал
Ответить
3
Развернуть ветку
Маленький бокал

Восторг. Спасибо, очень интересно. Не раскроете ли тему глубже?

Ответить
0
Развернуть ветку
Маленький бокал

Вот, писал когда-то.

What is TPM?
TPM is a cryptoprocessor which can do RSA and can seal data with PCRs — special state registers which are designed to do trusted boot. It uses Trusted GRUB bootloader too, to push more data to PCRs.
There is a LUKS-encrypted partition with the key sealed to certain PCR state. If you change kernel, one of the PCR won't match and the game won't boot. If you change initrd, kernel parameters, the game won't boot. It could be that even if you change BIOS settings, the game won't boot (that depends on the PCR configuration. I'm not sure about that on tanktanktank about BIOS settings). I think you got the point. That's the hardware thing.

Now HDD
I'm sure the controller is custom and if you connect the HDD to your pc, it wipes some data (the beginning of LUKS partition I suppose, or the RSA-encrypted key, but I doubt). The game becomes unbootable

So the HDD dump is pretty useless anyway. There is no way to run the game without LUKS key, which is stored on the HDD encrypted with RSA sealed to PCRs, and there is no way to get this data from the TPM.
Well, there is a possibility to dump the key if we boot the game, quickly shut it down, put off the RAM, insert it into another PC with fast boot (without RAM check) enabled and run a dumper on it. But I don't think that would be easy.

I'm not sure how the HDD checks itself. Maybe it wipes the data only when you do a copy of it, maybe right after you connect it to the PC. Anyway, I recommend you not to do anything with this drives.

I have the image from the drive and I can get an access to 2 (two) unbootable drives to check them. I can upload it if you want, but it's useless, as I said above.
And I have a controller photos somewhere.

I can get the hardware too (I even can have access to the booting hardware). There is a slight chance that there is TPM v1.1b or earlier, and it might be possible to do TPM reset attack. But, well, even if you decrypt LUKS key, you should decrypt this exact HDD with it.

Ответить
1
Развернуть ветку
Маленький бокал

Прошивка запускается при старте накопителя и управляет его работой. Обмен данными с диском идёт через неё. Если вредоносная прошивка понимает формат файловой системы, а для этого много кода не надо и некоторые флеш накопители это умеют, то она может встраивать вредоносный код в файлы сама.

Ответить
2
Развернуть ветку
Маленький бокал

Касперский так яро капает по АНБ, лицемерно закрывая глаза на то как ФСБ следит за россиянами(СОРМ и тд). Хотя чего ждать от бывшего сотрудника КГБ.

Ответить
0
Развернуть ветку
Маленький бокал

Ви таки ничего не понимаете в PR... xD

Ответить
0
Развернуть ветку
Маленький бокал

Может наши спецслужбы до такого уровня еще не доросли. Или наоборот, переросли. Даже не знаю, что лучше, лол.

Ответить
0
Развернуть ветку
Читать все 24 комментария
null