Бывший сотрудник АНБ рассказал Reuters, что анализ Лаборатории Касперского был правильным, и что в спецслужбе по-прежнему оценивают эти шпионские программы так же высоко, как и Stuxnet. Другой бывший разведчик подтвердил, что АНБ разработала ценную технику сокрытия шпионских программ на жестких дисках, но заявил, что не знал, с какими проектами ведомства она связана.
Официальный представитель АНБ Вэни Вайнс от комментариев отказалась.
Недавние откровения Сноудена больно ударили по отношениям Соединенных Штатов даже с некоторыми союзниками страны — и замедлили продажи высокотехнологичной продукции из США.
Новости о более продвинутых инструментах шпионажа могут привести к еще большему скепсису против западных технологий, особенно в таких странах, как Китай , который уже требуют у поставщиков своих финансовых организаций программный код для проверки.
Шпионы сделали технологический прорыв, выяснив, как внедрить вредоносный код в прошивку, которая запускается каждый раз при включении компьютера. «Само оборудование будет заражать компьютер снова и снова», — рассказал ведущий исследователь Лаборатории Костин Райу в интервью.
Хотя организаторы этой беспрецедентной — и все еще активной — кампании могли бы взять под контроль тысячи компьютеров, шпионы были избирательны и установили полный удаленный контроль только над машинами, принадлежащих к наиболее желательным иностранным целям, говорит Райу.
Исследования показали, что такое ПО может работать на жестких дисках, продающихся более чем десятком компаний, охватывающих, по существу, весь рынок. Это Western Digital Corp, Seagate Technology PLC, Toshiba Corp, IBM, Micron Technology Inc и Samsung Electronics Co Ltd.
Western Digital, Seagate и Micron заявили, что не знали о шпионском ПО. Toshiba и Samsung отказались от комментариев. IBM не ответил на просьбы Reuters о комментариях.
Райу указывает, что авторы шпионского ПО должны были иметь доступ к проприетарному исходному коду, который управляет действиями жестких дисков. «Нет никаких шансов, что кто-то может переписать операционную систему [жесткого диска] на основе публичной информации», — пояснил он.
Неясно, как АНБ могли получить исходный код жестких дисков. Производители отрицают, что поделились своим исходным кодом с АНБ.
По словам бывших оперативников разведки, АНБ имеет несколько способов получения исходного кода у технологических компаний, и один из них непосредственная просьба к разработчику программного обеспечения. Если компания хочет продавать продукцию Пентагону или другому правительственному агентству США, правительство может потребовать аудита безопасности, исходного кода.
«Они не признают это, но обычно они говорят: «Мы собираемся сделать оценку, нам нужен исходный код», — говорит Винсент Лю, партнер в консалтинговой охранной фирме Bishop Fox и бывший аналитик АНБ. «Как правило, именно АНБ делает оценку, и тут остается совсем маленький шаг, чтобы предположить, что оно сохраняет этот исходный код у себя».
Упоминаемые тут вирусы напоминают сложные программные комплексы с модульной организацией. Если не трогать пока лазейку через которую эти комплексы разворачиваются в системе, (windows вообще сплошная лазейка) то речь идёт о модулях скрывающих OffLine код необходимый для функционирования этих вирусов.
Вот фрагмент статьи разбирающий подобный функционал:
Запись информации в сервисные разделы HDD
В любом жестком диске присутствуют сервисные разделы. Они предназначены для хранения служебных программ винчестера, таких как S.M.A.R.T., модули раннего обнаружения ошибок, модули самодиагностики и так далее. К счастью, все эти данные не занимают выделенное место полностью, а значит, при правильном подходе мы можем использовать это бонусное пространство. Сервисные разделы не следует путать с DCO или HPA, которые могут быть легко обнаружены и доступны через стандартные ATA-команды.
В отличие от остальных методов скрытия информации запись в сервисный раздел не оставляет за собой никаких следов и незаметна для специальных программ поиска, которыми пользуются правоохранительные органы. Одним словом, это место идеально подойдет для хранения текстовых файлов с адресами, паролями, явками и прочего.
Для доступа к информации из сервисных разделов не подойдут стандартные ATA-команды, вместо этого для записи и чтения используются специальные команды VSC (Vendor Specific Commands). Как правило, производители держат в секрете эти команды, но порой выпускают утилиты для работы с сервисными разделами — например, программа wdidle3.exe от компании Western Digital и ее опенсорсный аналог idle3-tools. Еще один пример для WD — программа HDDHackr, меняющая записи в системных разделах HD.
WARNING
Данные в сервисных разделах очень важны для правильной работы винчестера. Повреждение записанной информации ведет к потере работоспособности диска. Восстановить ее будет не так уж и просто — для перезаписи данных в сервисных разделах понадобятся специализированные программы (например, Ace Laboratory PC3000).
Объем сервисного раздела зависит от модели винчестера. Например, в диске WD2500KS-00MJB0 семейства Hawk объемом 250 Гб (прошивка 02AEC) в сервисный раздел записывается две копии файлов, около 6 Мб каждая. Размер зоны на каждой поверхности составляет около 23 Mб (64 трека по 720 секторов на каждом). Поскольку этот диск имеет шесть поверхностей (головки от 0 до 5), модули сервисных разделов располагаются на месте, сопоставленном с головками 0 и 1, а место, закрепленное за головками со 2 по 5, зарезервировано, но не используется. Таким образом, зарезервированный раздел занимает около 141 Мб, из которых 12 Мб находится в использовании.
Для сравнения: модель WD10EACS-00ZJB0, емкостью в терабайт и с восемью поверхностями, имеет зарезервированное пространство 450 Мб, из которых занято 52 Мб. Ариэль Беркман (Ariel Berkman) из компании Recover Information Technologies LTD написал статью о работе с сервисными отделами HDD, а также выложил PoC-код для записи 94 Мб информации в сервисный отдел диска Western Digital 250GB Hawk. Делается это следующим образом:
Узнаем свой SATA IO адрес, используя lspci -v.
Для компиляции используем команду gcc -Wall -O -g -o SA-cover-poc SA-cover-poc.c.
Создаем рандомный файл (94 Мб в размере) и вычисляем его MD5-хеш.
Записываем файл в сервисный раздел.
Очищаем винчестер с помощью команды dd-ing /dev/zero, которую следует распространить на весь жесткий диск (или на отдельную часть, предварительно заблокировав доступ к остальному). Достаточно один раз прогнать этот код, чтобы уничтожить данные безвозвратно.
Читаем содержимое сервисного раздела, вычисляем его хеш и убеждаемся в целостности данных.
Автор предупреждает, что его код может привести к потере данных и выходу из строя жесткого диска, так что использовать этот метод можно только на свой страх и риск.
да тут к гадалке не ходи, итак всё ясно — производители сами передают исходный код. а если нет, то их товары мистическим образом не могут пробиться на полки магазинов в Штатах, а также ни одно госучреждение с ними не заключит договор на поставку оборудования. а это серьёзные деньги.
Похожее было года два назад. Тогда во всех правительсвенных компютерах Канады были обнаружены скрытые жучки и вирусы встроенные в BIOS. Штука в том, что компютеры поставлялись напрямую из Китая.
После этого последовал приказ использовать только компютеры канадского производства. Но... Все запчасти опять приходят из Китая! Так что не помогло.
Касперский, а Касперский? Сказал "гоп", так надо прыгать! Утилиту по удалению вируса не вижу на оф.сайте — что за непорядок? Покажи всем свою компетентность!
Знатная лапшевешалка... Даже теорию разводить неохота. Просто биос уже давно хранится в сжатом виде, и его модифицировать практически невозможно, тем более, что в серьезных системах прошивки дисков частенько меняются и защищены контрольной суммой, при модификации не распакуется. да и что может сделать модифицированная прошивка диска??? Изменить читаемые данные? а снова таки контрольная сумма? а логика — программа или данные?
В общем, такая же фигня, как и вшитый супервизор...
Скорей всего автор хочет пойти на работу в органы, потому-что такую лапшу на уши только им и можно навесить.
А каспер давно на органы пашет, и старательно "не замечает" их убожественных "вирусов"...
Я так понимаю, что если биос занимает не весь объем ППЗУ, то его остаток может запросто использовать другая программа. Вопрос только как ей получить управление... Без разработчиков биоса тут не обойтись.
С другой стороны, в нынешнем железе полно ППЗУ и микрокодов. Внедрить туда "шпиона" через производителя/поставщика не представляется сложным. Выводы делайте сами.
Комментарии
Официальный представитель АНБ Вэни Вайнс от комментариев отказалась.
Недавние откровения Сноудена больно ударили по отношениям Соединенных Штатов даже с некоторыми союзниками страны — и замедлили продажи высокотехнологичной продукции из США.
Новости о более продвинутых инструментах шпионажа могут привести к еще большему скепсису против западных технологий, особенно в таких странах, как Китай , который уже требуют у поставщиков своих финансовых организаций программный код для проверки.
Шпионы сделали технологический прорыв, выяснив, как внедрить вредоносный код в прошивку, которая запускается каждый раз при включении компьютера. «Само оборудование будет заражать компьютер снова и снова», — рассказал ведущий исследователь Лаборатории Костин Райу в интервью.
Хотя организаторы этой беспрецедентной — и все еще активной — кампании могли бы взять под контроль тысячи компьютеров, шпионы были избирательны и установили полный удаленный контроль только над машинами, принадлежащих к наиболее желательным иностранным целям, говорит Райу.
Исследования показали, что такое ПО может работать на жестких дисках, продающихся более чем десятком компаний, охватывающих, по существу, весь рынок. Это Western Digital Corp, Seagate Technology PLC, Toshiba Corp, IBM, Micron Technology Inc и Samsung Electronics Co Ltd.
Western Digital, Seagate и Micron заявили, что не знали о шпионском ПО. Toshiba и Samsung отказались от комментариев. IBM не ответил на просьбы Reuters о комментариях.
Райу указывает, что авторы шпионского ПО должны были иметь доступ к проприетарному исходному коду, который управляет действиями жестких дисков. «Нет никаких шансов, что кто-то может переписать операционную систему [жесткого диска] на основе публичной информации», — пояснил он.
Неясно, как АНБ могли получить исходный код жестких дисков. Производители отрицают, что поделились своим исходным кодом с АНБ.
По словам бывших оперативников разведки, АНБ имеет несколько способов получения исходного кода у технологических компаний, и один из них непосредственная просьба к разработчику программного обеспечения. Если компания хочет продавать продукцию Пентагону или другому правительственному агентству США, правительство может потребовать аудита безопасности, исходного кода.
«Они не признают это, но обычно они говорят: «Мы собираемся сделать оценку, нам нужен исходный код», — говорит Винсент Лю, партнер в консалтинговой охранной фирме Bishop Fox и бывший аналитик АНБ. «Как правило, именно АНБ делает оценку, и тут остается совсем маленький шаг, чтобы предположить, что оно сохраняет этот исходный код у себя».
Вот фрагмент статьи разбирающий подобный функционал:
Запись информации в сервисные разделы HDD
В любом жестком диске присутствуют сервисные разделы. Они предназначены для хранения служебных программ винчестера, таких как S.M.A.R.T., модули раннего обнаружения ошибок, модули самодиагностики и так далее. К счастью, все эти данные не занимают выделенное место полностью, а значит, при правильном подходе мы можем использовать это бонусное пространство. Сервисные разделы не следует путать с DCO или HPA, которые могут быть легко обнаружены и доступны через стандартные ATA-команды.
В отличие от остальных методов скрытия информации запись в сервисный раздел не оставляет за собой никаких следов и незаметна для специальных программ поиска, которыми пользуются правоохранительные органы. Одним словом, это место идеально подойдет для хранения текстовых файлов с адресами, паролями, явками и прочего.
Для доступа к информации из сервисных разделов не подойдут стандартные ATA-команды, вместо этого для записи и чтения используются специальные команды VSC (Vendor Specific Commands). Как правило, производители держат в секрете эти команды, но порой выпускают утилиты для работы с сервисными разделами — например, программа wdidle3.exe от компании Western Digital и ее опенсорсный аналог idle3-tools. Еще один пример для WD — программа HDDHackr, меняющая записи в системных разделах HD.
WARNING
Данные в сервисных разделах очень важны для правильной работы винчестера. Повреждение записанной информации ведет к потере работоспособности диска. Восстановить ее будет не так уж и просто — для перезаписи данных в сервисных разделах понадобятся специализированные программы (например, Ace Laboratory PC3000).
Объем сервисного раздела зависит от модели винчестера. Например, в диске WD2500KS-00MJB0 семейства Hawk объемом 250 Гб (прошивка 02AEC) в сервисный раздел записывается две копии файлов, около 6 Мб каждая. Размер зоны на каждой поверхности составляет около 23 Mб (64 трека по 720 секторов на каждом). Поскольку этот диск имеет шесть поверхностей (головки от 0 до 5), модули сервисных разделов располагаются на месте, сопоставленном с головками 0 и 1, а место, закрепленное за головками со 2 по 5, зарезервировано, но не используется. Таким образом, зарезервированный раздел занимает около 141 Мб, из которых 12 Мб находится в использовании.
Для сравнения: модель WD10EACS-00ZJB0, емкостью в терабайт и с восемью поверхностями, имеет зарезервированное пространство 450 Мб, из которых занято 52 Мб. Ариэль Беркман (Ariel Berkman) из компании Recover Information Technologies LTD написал статью о работе с сервисными отделами HDD, а также выложил PoC-код для записи 94 Мб информации в сервисный отдел диска Western Digital 250GB Hawk. Делается это следующим образом:
Узнаем свой SATA IO адрес, используя lspci -v.
Для компиляции используем команду gcc -Wall -O -g -o SA-cover-poc SA-cover-poc.c.
Создаем рандомный файл (94 Мб в размере) и вычисляем его MD5-хеш.
Записываем файл в сервисный раздел.
Очищаем винчестер с помощью команды dd-ing /dev/zero, которую следует распространить на весь жесткий диск (или на отдельную часть, предварительно заблокировав доступ к остальному). Достаточно один раз прогнать этот код, чтобы уничтожить данные безвозвратно.
Читаем содержимое сервисного раздела, вычисляем его хеш и убеждаемся в целостности данных.
root@Shafan1:~/SA# dd if=/dev/urandom count=184320 > random-file ; md5sum random-file
root@Shafan1:~/SA# ./SA-cover-poc -p 0x0170 -w ./random-file
root@Shafan1:~# dd if=/dev/zero of=/dev/sdb bs=1M
root@Shafan1:~/SA# ./SA-cover-poc -p 0x0170 -r after-dding-dev-zero
root@Shafan1:~/SA# md5sum after-dding-dev-zero
Автор предупреждает, что его код может привести к потере данных и выходу из строя жесткого диска, так что использовать этот метод можно только на свой страх и риск.
После этого последовал приказ использовать только компютеры канадского производства. Но... Все запчасти опять приходят из Китая! Так что не помогло.
Очень уж похоже на говномет от каспера.
А может они просто обнаружили SMART?
В общем, такая же фигня, как и вшитый супервизор...
Скорей всего автор хочет пойти на работу в органы, потому-что такую лапшу на уши только им и можно навесить.
А каспер давно на органы пашет, и старательно "не замечает" их убожественных "вирусов"...
С другой стороны, в нынешнем железе полно ППЗУ и микрокодов. Внедрить туда "шпиона" через производителя/поставщика не представляется сложным. Выводы делайте сами.