Kaspersky: NSA propašovala do pevných disků backdoor
17.2.2015, Jan Vítek, aktualita
Společnost Kaspersky Labs dle vlastních slov odhalila špionážní program NSA, která má využívat dominance amerických výrobců pevných disků. Ty tak mají obsahovat "zadní vrátka" k uloženým datům.
Ještě před pěti lety figurovaly na trhu tři země s výrobci pevných disků, korejský Samsung, japonské Hitachi a Toshiba a americké Seagate a WD. Ovšem dnes trh ovládají dvě firmy, WD a Seagate, které spolkly nebo se spojily s korejskými a japonskými výrobci, což dle některých už samo o sobě vrhá stín podezření.
Dle Kaspersky Labs tohoto stavu využila americká agentura NSA, která má v popisu práce starost o národní bezpečnost a společně s WD a Seagate přidala do firmwaru pevných disků backdoory, které zajišťují přístup přímo k uloženým datům. A jde přitom o surová data nehledě na oddíly, souborový systém či snad uživatelská práva. Kaspersky říkají, že našli PC s takovýmito pevnými disky v celkem 30 zemích, přičemž nejvíce jich má být v Íránu a pak v Rusku, Pákistánu, Afgánistánu, Číně, Mali, Sýrii, Jemenu a Alžírsku.
NSA je má využívat především pro špehování vládních a vojenských organizací, telekomunikačních firem, bank, jaderných zařízení, médií a islamistických aktivistů. Kaspersky nechtějí přímo označit firmu, která měla malware vytvořit, ale říká, že je spojena s vývojem kyberzbraně Stuxnet, kterou NSA měla použít proti íránským provozům obohacujícím uran. Dále je tu dle ruské firmy i spojitost s již dříve odhalenými trojany EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny a GrayFish, čili jde o aktivitu, která má počátky už na samotném začátku tohoto tisíciletí.
Malware je dle Kaspersky na vysoké úrovni. Aktivuje se hned po spuštění PC, kdy BIOS nahraje firmware hardwarových komponent do systémové paměti, tedy ještě před bootováním operačního systému. Napadený firmware přitom znemožní pokusy o své skenování, čili zůstává možnost zápisu do něj, ale firmware nelze přečíst, takže jej ani nejde zkontrolovat. Malware může také v disku vytvořit vlastní oblast, kam se uloží zachycená data. Nemusí tak pomoci ani šifrování dat vzhledem k tomu, že malware může snadno odchytit použité heslo při samotném zřizování šifrovaného oddílu.
datové centrum NSA (Bluffdale, Utah)
WD a Seagate toto však odmítají a říkají, že nikdy nezpřístupnily zdrojové kódy svých firmwarů jakékoliv vládní agentuře a trvají na tom, že jsou bezpečné. Nicméně bývalí zaměstnanci NSA říkají, že si stačí prostě vyžádat zdrojové kódy za účelem jejich kontroly, aby mohl být příslušný hardware využit ve vládních počítačích. To však neznamená, že by se na výrobě a distribuci infikovaných disků podíleli jejich samotní výrobci. Kaspersky mluví spíše o malwaru, který je schopen napadnout firmware pevných disků a jako takový se může šířit různými způsoby.
Zdroj: techPowerUp, Kaspersky
Dle Kaspersky Labs tohoto stavu využila americká agentura NSA, která má v popisu práce starost o národní bezpečnost a společně s WD a Seagate přidala do firmwaru pevných disků backdoory, které zajišťují přístup přímo k uloženým datům. A jde přitom o surová data nehledě na oddíly, souborový systém či snad uživatelská práva. Kaspersky říkají, že našli PC s takovýmito pevnými disky v celkem 30 zemích, přičemž nejvíce jich má být v Íránu a pak v Rusku, Pákistánu, Afgánistánu, Číně, Mali, Sýrii, Jemenu a Alžírsku.
NSA je má využívat především pro špehování vládních a vojenských organizací, telekomunikačních firem, bank, jaderných zařízení, médií a islamistických aktivistů. Kaspersky nechtějí přímo označit firmu, která měla malware vytvořit, ale říká, že je spojena s vývojem kyberzbraně Stuxnet, kterou NSA měla použít proti íránským provozům obohacujícím uran. Dále je tu dle ruské firmy i spojitost s již dříve odhalenými trojany EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny a GrayFish, čili jde o aktivitu, která má počátky už na samotném začátku tohoto tisíciletí.
Malware je dle Kaspersky na vysoké úrovni. Aktivuje se hned po spuštění PC, kdy BIOS nahraje firmware hardwarových komponent do systémové paměti, tedy ještě před bootováním operačního systému. Napadený firmware přitom znemožní pokusy o své skenování, čili zůstává možnost zápisu do něj, ale firmware nelze přečíst, takže jej ani nejde zkontrolovat. Malware může také v disku vytvořit vlastní oblast, kam se uloží zachycená data. Nemusí tak pomoci ani šifrování dat vzhledem k tomu, že malware může snadno odchytit použité heslo při samotném zřizování šifrovaného oddílu.
datové centrum NSA (Bluffdale, Utah)
WD a Seagate toto však odmítají a říkají, že nikdy nezpřístupnily zdrojové kódy svých firmwarů jakékoliv vládní agentuře a trvají na tom, že jsou bezpečné. Nicméně bývalí zaměstnanci NSA říkají, že si stačí prostě vyžádat zdrojové kódy za účelem jejich kontroly, aby mohl být příslušný hardware využit ve vládních počítačích. To však neznamená, že by se na výrobě a distribuci infikovaných disků podíleli jejich samotní výrobci. Kaspersky mluví spíše o malwaru, který je schopen napadnout firmware pevných disků a jako takový se může šířit různými způsoby.
Zdroj: techPowerUp, Kaspersky