Вирус в прошивке жесткого диска - это реально, что дальше?

Команда Касперского GReAT только что опубликовала исследование Уравнение активности кибершпионажной группы и это выявило немало технических чудес. Эта старая и мощная хакерская группа создала очень сложную серию вредоносных «имплантатов», но наиболее интересным открытием является способность вредоносной программы перепрограммировать жесткие диски жертвы, делая их «имплантаты» невидимыми и почти неуничтожимыми.

Это один из долгожданных страшные истории в компьютерной безопасности - неизлечимый вирус, который сохраняется в компьютерном оборудовании навсегда, считался городской легендой на протяжении десятилетий, но, похоже, люди тратят миллионы долларов, чтобы это произошло. В некоторых сообщениях прессы об истории Equation говорится, что это позволяет хакерам « подслушивать на большинстве компьютеров в мире «. Однако мы хотим снизить уровень драмы. Эта способность останется такой же редкой, как панды, идущие по улице.

Эта способность останется такой же редкой, как панды, идущие по улице

Начнем с объяснения, что означает «перепрограммирование прошивки жесткого диска». Жесткий диск состоит из двух важных компонентов - носителя памяти (магнитные диски для классических жестких дисков или микросхемы флэш-памяти для SSD) и микрочипа, который фактически контролирует чтение и запись на диск, а также многих процедур обслуживания, например, обнаружения ошибок и коррекция. Эти сервисные процедуры многочисленны и сложны, поэтому микросхема выполняет собственную сложную программу и, технически говоря, это маленький компьютер сам по себе. Программа чипа называется микропрограммой, и поставщик жесткого диска может захотеть обновить ее, исправляя обнаруженные ошибки или улучшая производительность.

Этот механизм был использован группой Equation, которая смогла загрузить собственное встроенное ПО на жесткий диск 12 различных «категорий» (производители / варианты). Функции этой модифицированной прошивки остаются неизвестными, но вредоносное ПО на компьютере получает возможность записывать и считывать данные в / из выделенной области жесткого диска. Мы предполагаем, что эта область полностью скрыта от операционной системы и даже от специального криминалистического программного обеспечения. Данные в этой области могут сохраниться после переформатирования жесткого диска, плюс теоретически встроенное ПО способно повторно заразить загрузочную область жесткого диска, заразив недавно установленную операционную систему с самого начала. Чтобы усложнить ситуацию, проверка и перепрограммирование встроенного ПО зависит от самого встроенного ПО, поэтому невозможно проверить целостность встроенного ПО или надежно повторно загрузить встроенное ПО на компьютер. Другими словами, однажды зараженная прошивка жесткого диска неуязвима и почти неуничтожима. Проще и дешевле угробить подозрительный диск и купить новый.

Однако не спешите искать свою отвертку - мы не ожидаем, что эта предельная инфекционная способность станет основной. Даже сама группа Equation, вероятно, использовала его только несколько раз, поскольку модуль заражения жесткого диска крайне редко встречается в системах жертвы. Начнем с того, что перепрограммирование жесткого диска намного сложнее, чем написание, скажем, программного обеспечения Windows. Каждая модель жесткого диска уникальна, и разработка альтернативной прошивки обходится очень дорого и кропотливо. Хакер должен получить внутреннюю документацию производителя жесткого диска (что практически невозможно), приобрести некоторые диски той же модели, разработать и протестировать необходимые функции и втиснуть вредоносные программы в существующие микропрограммы, сохраняя при этом свои оригинальные функции. Это очень важный проект, который требует месяцев разработки и миллионов инвестиций. Вот почему нецелесообразно использовать такие технологии скрытности в криминальном вредоносном ПО или даже в самых целенаправленных атаках. Кроме того, разработка встроенного программного обеспечения, очевидно, является подходом бутика, который не может быть легко масштабирован. Многие производители выпускают микропрограммы для нескольких накопителей каждый месяц, постоянно появляются новые модели, и взлом каждого из них - это нечто большее, чем просто необходимо (и необходимо) для группы Equation - и для всех остальных.

Итак, практический результат этой истории заключается в том, что заражающие жесткие диски вредоносные программы больше не являются легендой, но средний человек не подвергается риску. Не стучите молотком, если вы не работаете в ядерной промышленности Ирана. Уделите больше внимания менее интересным, но более вероятным рискам, таким как взлом плохие пароли или устаревший антивирус ,