skip to main | skip to sidebar
29 commenti

Equation Group infetta i dischi rigidi in modo invisibile

Roba da fantascienza. Un gruppo di intrusi informatici probabilmente legato all'NSA, l'ente di sicurezza e sorveglianza statunitense, infetta impunemente di nascosto da più di un decennio i computer di tutto il mondo. Lo segnala la società di sicurezza informatica russa Kaspersky in un dettagliatissimo rapporto che profuma di spy-story.

Fra le tecniche utilizzate ne spicca una: un malware in grado di riscrivere il firmware (il software di controllo di base) dei dischi rigidi di Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba e Seagate. Il malware creava su ogni disco rigido infettato un deposito nascosto nel quale archiviare dati intercettati. L'archivio e il malware non venivano rilevati dagli antivirus e sopravvivevano allegramente alla cancellazione e alla riformattazione del disco e alla reinstallazione del sistema operativo. La capacità tecnica di creare un malware del genere implica risorse tecniche eccezionali, compreso l'accesso al codice sorgente dei fabbricanti di dischi rigidi.

Un altro esempio notevole: nel 2009 dei ricercatori scientifici che avevano partecipato a una conferenza a Houston, in Texas, ricevettero per posta un CD contenente i documenti della conferenza, come capita normalmente. Ma il CD originale era stato intercettato in transito nel sistema postale ed era stato sostituito con una copia che iniettava nel computer un software-spia.

Anche le penne USB venivano usate come vettori d'infezione già nel 2008 da questi intrusi d'alto livello, che sfruttavano una falla di Windows all'epoca sconosciuta che consentiva d'infettare un PC semplicemente inserendo la penna, anche se l'Autorun era disattivato.

Kaspersky chiama questa squadra d'élite Equation Group per via della passione dei suoi membri per gli algoritmi di cifratura e le tecniche matematiche avanzate usate per nascondere i dati. La società di sicurezza informatica ha documentato circa 500 infezioni perpetrate dall'Equation Group in almeno 42 paesi: in cima alla lista dei paesi colpiti ci sono Iran, Russia, Pakistan, Afghanistan, India, Siria e Mali.

L'utente comune probabilmente non ha motivo di preoccuparsi di questo genere di attacco: a differenza delle forme di sorveglianza di massa usate da altre organizzazioni, secondo Kaspersky questo gruppo effettua attacchi con precisione chirurgica contro utenti estremamente specifici (governi, sistemi militari, società di telecomunicazione, banche, operatori del settore energetico, ricercatori nucleari e attivisti islamici) ed è in mano a gente spettacolarmente competente, anche se è emerso un caso, risalente al 2010, di un utente comune che è stato colpito da Fanny, uno dei malware per chiavette USB dell'Equation Group.

Tuttavia l'esistenza di strumenti d'attacco così sofisticati e invisibili pone un problema di fondo non banale: se esiste malware in grado di alterare il funzionamento di base di un disco rigido e depositarvi dati senza lasciare tracce rilevabili, molte delle tecniche d'informatica forense usate comunemente per documentare reati informatici non possono essere più considerate perfettamente attendibili. D'ora in poi i criminali potranno sempre insinuare il ragionevole dubbio che i reati commessi tramite i loro computer siano stati perpetrati da qualche malware a loro insaputa.


Fonti: ReutersArs Technica, TomsHw.


Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (29)
la famosa smoking gun... difficile da vedere ma se la vedi è la prova che è implicato qualcuno di grosso... Beh d'ora in poi niente più hard-disk. Solo ram. E meglio niente rete... Praticamente torniamo ai piccioni :)
[Un gruppo di intrusi informatici] probabilmente [legato all'NSA]... una parola che fa la differenza tra PA e il sito complottardo su cui ho letto stamattina la stessa notizia ... salvo poi andare a leggre la fonte (Kaspersky) e non trovarvi nessuna correlazione con qualsivoglia Agenzia USA ...
Certo basta guardare gli obiettivi degli attacchi per capire "cui prodest" ...
Mi fa sorridere quel "probabilmente" scritto per dovere giornalistico a inizio articolo.
Iran, Russia, Pakistan, Afghanistan ecc...certo che avrebbero potuto infettare computer anche da qualche altra parte in modo casuale, tanto per depistare un po' le indagini... così è proprio plateale chi c'è dietro XD
A volte mi chiedo l'utente / utOnto medio come si ponga di fronte a notizie del genere: e lo scenario è ancora più desolante, specie qualora pensi "chi se ne frega, io non ho nulla da nascondere". Ho letto comunque che gli antivirus dovrebbero, almeno in teoria, riuscire a rilevare cose del genere tra qualche tempo...
I sorgenti del firmware di alcuni dispositivi (tipo i NAS) sono spesso pubblicati dai fabbricanti. Per i dischi credo basti averne un esemplare in mano. Il fatto è che comunque per modificare il firmware ci vuole un programma e non su tutti i dischi è possibile, che io sappia, quindi devono averci messo le mani in fabbrica. Leggerò l'articolo che sono curioso
Poi, se il malware archivia i dati di nascosto, bisognerà poi che la spia recuperi fisicamente il disco "manomesso" o comunque abbia accesso allo stesso. Insomma mi pare un po' troppo alla James Bond: se posso accendere fisicamente al disco posso pure mettere delle microspie nel Pc o nella stanza dove è...
Lupo: se il malware archivia i dati di nascosto, bisognerà poi che la spia recuperi fisicamente il disco "manomesso" o comunque abbia accesso allo stesso..

No, il malware stesso crea una backdoor se la vittima è ritenuta "interessante". Cosa questo significhi non ne ho idea.

Sarebbe interessante sapere come l'abbiano scoperto, visto che i firmware degli hdd possono essere scritti, ma non letti. Probabilmente hanno letto fisicamente i dischi con una di quelle macchine usate per recuperare dati da hdd guasti o semidistrutti fisicamente e da li hanno ricostruito il meccanismo per esclusione.

Mi chiederei piuttosto cosa sia quello che ancora non sappiamo... E' la complessità dell'elettronica digitale che comporta l'impossibilità, di fatto, di difendersi da tutto questo. Mai termine più azzeccato di virus. In ultima analisi anche i sistemi biologici sono vulnerabili proprio a causa della loro estrema complessità.
"il malware stesso crea una backdoor se la vittima è ritenuta "interessante". Cosa questo significhi non ne ho idea." Presumibilmente si connette con il computer della "spia" e gli invia i dati che ha raccolto. Il che mi fa abbastanza strano: se ho un computer con dati che so poter interessare delle spie, mi guarderò bene dal collegarlo ad Internet.
No beh il firmware è fisicamente memorizzato in un chip sul controller del disco, ma ci sono programmi che permettono di leggerlo (per fare una copia di sicurezza prima di un aggiornamento, per esempio. Alcune utility per usare i giochi "homebrew" delle console usano un sistema simile per riscrivere il firmware dei lettori DVD.
E volendo puoi smontare il controller e leggere direttamente i dati dal chip, se sai come farlo.
Non so... anche se un po di esperienza nel settore la ho questa notizia mi lascia perplesso.. E' solo la mia opinione sia chiaro (ancora immatura oltretutto) ma questa storia puzza di majestic 12 o cosa simile.
Ragionandoci a mente fredda credo ci siano modi più economici ed efficaci che creare software del genere per recuperare dati. Questa soluzione prevede oltre che una conoscenza informatica da gruppo d'ellitte anche una logistica complessa e un coinvolgimento diretto o indiretto di svariate società / persone.
Inoltre la storia della backdoor sta poco in piedi... posso capire che i dati vengano raccolti in una "area nascosta" dell HD, ma che questi vengano inviati e che la cosa sia passata inosservata per un decennio mi pare impossibile. Pensate che chi fa analisi su software malevoli cerca (tra le altre cose) ogni connessione sospetta in ingresso o uscita...e vi assicuro che non è cosi complesso trovarle.
Di gente che fa analisi su software ce ne è una marea e non sono solo i produttori di antivirus(che tra le altre cose avrebbero tutto l'interesse economico a far emergere qualche scandalo per vie dirette o traverse).

Certo, Il malware potrebbe prevenire che ogni connessione non venga rilevata con i classici software di analisi, modificando kernel di windows o simili..ma...chi fa analisi di questo tipo controlla il traffico di rete a monte del pc su cui si sta effettuando l'analisi... Cioè se voglio verificare se un pc è infetto da backdoor non mi metterei di certo a catturare il traffico di rete su questo pc, ma, ad esempio, sull'apparato che offre a lui la connessione (router, proxy, )...insomma mi metterei "in the middle"...

Ripeto è solo la mia idea maturata senza avere dati tecnici alla mano, tutto è possibile...
Ma se l'NSA piuttosto di fare tutto sto cinema, non sarebbe più logico che pagasse la classica spia, o corrompa qualche insider per raccogliere i dati di interesse...di sicuro si avrebbero meno persone coinvolte e più certezza della buona riuscita dell'operazione.

Sono pronto ad essere smentito...
voglio aggiungere una nota al commento precedente:

Non voglio dire che sia del tutto falsa questa storia, sicuramente c'è del vero, ma che sarebbe difficilmente applicabile per attacchi di massa. Oltre che ingestibile. Penso invece che per attacchi molto molto mirati e studiati nei minimi dettagli sia efficace, ma prendere un HD, modificarlo e farlo "arrivare" esattamente nell'ufficio e alla persona che si desidera "monitorare" per poi recuperare i dati senza essere scoperti non sia cosa banalissima.
Il coinvolgimento diretto di grandi e svariate aziende come le produttrici di HD mi sembra poco plausibile...soprattutto per il rischio numero uno di queste "operazioni" : la fuga di notizie.
Due considerazioni rapide:
1) io onestamente non riesco a capire dove sia la sorpresa, basta aver presente la "filiera" dei flussi di dati dentro un pc (e fuori di esso), un po' di fantasia per capire che è stupido concentrarsi semplicemente su ciò che accade nello user / kernel space del sistema operativo
2) ragazzi, forse non vi è chiaro che si parla di guerra, vi scandalizza così tanto che uno Stato riesca a fare queste cose? Io ringrazio non una ma mille volte Dio che oggi per sabotare un programma nucleare si ricorra a questi mezzi e non a quelli che si usava anche solo fino a qualche anno fa, con tutte le nefaste, assurde, inconcepibili conseguenze. Dovreste difatti partire dal presupposto che quando ci si pone un obiettivo a quei livelli (sicurezza nazionale o ancora peggio motivi economici) in un modo o nell'altro lo si raggiunge, costi quel che costi, basti vedere il passato, anche recente. Io sono felicissimo, ripeto, grato a Dio perché la guerra oggi si faccia aprendo i PC e non le persone.
Ma se l'NSA piuttosto di fare tutto sto cinema, non sarebbe più logico che pagasse la classica spia, o corrompa qualche insider per raccogliere i dati di interesse...

Se sai chi è la vittima, se stai cercando a caso, per esempio per trovare informazioni che non sai dove sono allora un sistema del genere è più efficace.
MT,

Ma se l'NSA piuttosto di fare tutto sto cinema, non sarebbe più logico che pagasse la classica spia, o corrompa qualche insider per raccogliere i dati di interesse

Seriamente pensi che sia facile trovare, per esempio, un iraniano disposto a fare la spia e rischiare di morire per l'America e capace di infiltrarsi nell'impianto nucleare di Natanz?

Più facile che scrivere del buon software?
@Paolo, in maniera assolutamente non provocatoria ma per suscitare una discussione ti giro la domanda

Seriamente pensi che creare un "buon software", installarlo sul firmware di un HD, farlo recapitare alla centrale di Natanz e farlo installare nell' esatto sistema che vuoi monitorare e - se tutto va a buon fine - recuperare in qualche modo prima o poi i dati raccolti evitando che qualcuno parli troppo sia cosi facile?

Il buon vecchio spionaggio "fisico" e non virtuale, la vecchia corruzione del personale addetto per soldi, tanti soldi sono davvero passate di moda?

Scrivere un buon software (firmware o modifica al firmware) invisibile, introvabile, bug-free, compatibile con la stra grande maggioranza degli HD, mantenere la compatibilità di tale software per oltre un decennio nonostante la moltitudine di tecnologie in continua evoluzione / rivoluzione a me sembra un' impresa epica se a doverla compiere sono pochi "eletti"...ma in tutta la vicenda questa mi sembra la parte più semplice.
MT,

creare un "buon software", installarlo sul firmware di un HD, farlo recapitare alla centrale di Natanz e farlo installare nell' esatto sistema che vuoi monitorare e - se tutto va a buon fine - recuperare in qualche modo prima o poi i dati raccolti evitando che qualcuno parli troppo sia cosi facile?

Non è facile, ma è fattibile (ed è stato fatto). Al contrario, trovare una persona che abbia la fisionomia locale, che parli perfettamente la lingua locale, conosca usi e costumi locali, superi gli accertamenti di sicurezza, trovi il modo di comunicare con i suoi mandanti, e faccia tutto questo con il rischio di essere torturato e ucciso, e lo faccia per l'America, è difficilissimo perché attingi a un insieme vuoto. Di gente così, semplicemente, non ce n'è e non ne trovi.

E se l'Iran becca una spia americana e la sbandiera in TV, è un disastro politico e mediatico. Se becca un virus americano, il problema non si pone.


Il buon vecchio spionaggio "fisico" e non virtuale, la vecchia corruzione del personale addetto per soldi, tanti soldi sono davvero passate di moda?

No, è che in certe zone del mondo con società chiuse e ideologie radicali sempliemente non è praticabile ed è troppo rischioso.

È la stessa storia che si vede fra i militari: meglio mettere dei soldati sul terreno del nemico, col rischio che vengano presi, uccisi ed esibiti in mondovisione, o usare i droni pilotati standosene comodamente in ufficio nel Maryland?

SIGINT vs HUMINT: conflitto classico con logiche ineludibili. Un virus non torna a casa in una bara e non lascia moglie e figli. Per cui è preferibile investire in malware invece che in spie.
Guerra fredda informatica. Kaspersky, i protettori cresciuti all'ombra del cremlino in nell'era dello zar putin... Ok, fidatevi ma non troppo...
Si, francamente anch'io non capisco certe obiezioni. Mi pare abbastanza ovvio che si usino tutte le armi a disposizione. I virus informatici possono essere l'arma migliore per raccogliere intelligence, e in qualche caso, come per Stuxnet, per fare vera e propria "guerra" con danni reali alle infrastrutture.

C'è anche il caso di counter-brainwashing. Non so se avete mai sentito parlare di Abdullah X, un personaggio creato ad-hoc (a quanto ne so...) da un think-tank inglese anche se viene fatto passare per un ex militante dello Stato Islamico pentito, usato per contrastare le campagne di reclutamento dell'ISIS su internet, Twitter e Facebook inclusi, confutando con grande cognizione di causa gli argomenti degli adepti e dei potenziali nuovi terroristi. Pare abbia avuto un certo successo e che abbia oltre centomila contatti.

Anche questa, infondo, è battaglia informatica.
pgc, Fx,

personalmente non sono scandalizzato: anzi, lo spionaggio e il controspionaggio informatico contro paesi e organizzazioni ostili è quello che mi aspetto da uno stato tecnologicamente avanzato.

Quello che trovo inaccettabile (e che ha motivato Snowden) è che queste armi vengano usate contro i paesi alleati (per esempio per infiltrarsi nella rete telefonica Belgacom) e per fare sorveglianza di massa preventiva (senza fondati motivi) dei cittadini propri e dei paesi alleati.


C'è poi un altro aspetto che è caratteristico delle armi informatiche: hanno un costo di produzione limitatissimo rispetto a quelle convenzionali e questo è destabilizzante. Sono pericolose come e più delle armi batteriologiche.

Per costruire un esercito servono materiali, mezzi militari, uomini e soldi per mantenerli: questo limita la proliferazione dei grandi eserciti. Per costruire un arsenale nucleare ci vogliono materiali difficilmente reperibili ed estremamente pericolosi da maneggiare, conoscenze tecniche notevoli e risorse economiche ingenti: questo limita il numero dei paesi dotati di armi nucleari.

Per costruire un'arma batteriologica, invece, basta avere un laboratorio, qualche biologo e molto pelo sullo stomaco. Questo le rende accessibili a un numero più elevato di paesi. Le armi CBW sono l'atomica dei poveri. Ma hanno comunque difficoltà di gestione e disseminazione che le rendono, per ora, poco pratiche (soprattutto per il rischio di infettare anche il paese attaccante).

Nel caso delle armi informatiche, invece, non solo il costo di sviluppo è bassissimo: non hai neanche il problema del contenimento o dell'autoinfezione. Non ci sono materiali radioattivi o letali da maneggiare. Puoi calibrare con precisione estrema i bersagli (Stuxnet). Devi soltanto reclutare dei bravi sviluppatori di software: ti basta investire in informatica nelle scuole e scegliere gli studenti migliori: offri loro non di rischiare la vita in territorio nemico come spie, ma di lavorare in ufficio come sviluppatori di software, dalle 9 alle 5, vicino a casa, senza rischio per la vita, a beneficio del paese.

Tutto questo abbassa enormemente le barriere d'ingresso, ed è questo che preoccupa molti. Una Corea del Nord può dissanguarsi per fare bombe atomiche, ma spende poco o niente per costruire una scuola d'informatica e creare malware.

Oltretutto il malware militare ha il difetto (con poche eccezioni) di restare sul campo e quindi di essere studiabile dal nemico, che quindi impara in fretta le tecniche più sofisticate e le può ritorcere a basso costo contro il nemico.
pgc,

Non so se avete mai sentito parlare di Abdullah X...Anche questa, infondo, è battaglia informatica.

No, è semplicemente normale contropropaganda psicologica, come quella usata da sempre (radio, volantini, ecc), stavolta veicolata da mezzi informatici.
ersonalmente non sono scandalizzato:

Paolo, per chiarire, non mi riferivo al tuo post, che trovo perfettamente condivisibile e ragionevole.

No, è semplicemente normale contropropaganda psicologica, come quella usata da sempre (radio, volantini, ecc), stavolta veicolata da mezzi informatici.

Appunto. Analogamente una volta la contropropaganda la si faceva via radio, oggi anche via facebook o twitter. Analogamente una volta la guerra la si faceva con mezzi biologici, chimici o nucleari. Oggi anche via "virus" informatici :)
@Pgc

Nello scenario "la dura legge del deserto" in cui gli [indiani] sono entro le mura dell'oasi rammolliti da troppo benessere ed i [cow boys] ne sono fuori incattiviti da fame e intemperie...

A minare la fiducia negli strumenti che rappresentano tale benessere, quasi quasi i [cowboys] stan facendo un favore agli [indiani], non sono un esperto di scienza militare ma personalmente penso che nel verso - "from cowboys to indiani" questa strategia è leggermente controproducente, a meno che gli [indiani] non siano tanto rammolliti che anche perdere questo svantaggio non cambia la differenza in modo significativo.

Quando si è scoperto che una certa organizzazione terroristica non fa nessun uso di strumenti di comunicazione a distanza, qualcuno sotto i trent'anni ha seriamente pensato a stregoneria o intercessione divina, per cose che chi oggi ha più di trentacinque anni ha sempre fatto abitualmente.
Lupo della Luna: No beh il firmware è fisicamente memorizzato in un chip sul controller del disco, ma ci sono programmi che permettono di leggerlo (per fare una copia di sicurezza prima di un aggiornamento, per esempio. .

Si, ma se il firmware stesso lo permette, visto che la richiesta di leggerlo viene rivolta proprio al firmware. Prova ne è il fatto che se il firmware viene distrutto durante un update o per cause diverse, è impossibile leggerlo, anche se esistono tool in grado di riscriverlo ex novo. Anche per questo l'operazione di update dei firmware va sempre fatta con grandissima attenzione (e solo in caso di reale necessità).

Se ho capito bene, mi sembra lo affermi anche l'articolo di ArsTechnnica: it's just about impossible for an outsider to reverse engineer a hard drive, read the existing firmware, and create malicious versions..
Questo articolo invece spiega come NSA potrebbe essere venuta in possesso del codice sorgente del codice: chiedendolo per un'audit sulla sicurezza nel caso esso sia installato su alcuni loro computer:

"[the NSA] don't admit it, but they do say, 'We're going to do an evaluation, we need the source code,'" said Vincent Liu, a partner at security consulting firm Bishop Fox and former NSA analyst. "It's usually the NSA doing the evaluation, and it's a pretty small leap to say they're going to keep that source code.".
La storia di Equation Group si può riassumere in una semplice parola "spionaggio".
Un'attività che è sempre esistita e che non deve destare preoccupazione per un normale utente. I 500 casi che cita Kapersky è chiaro che sono un numero basso che dimostra infatti come sia un'attività mirata, un 'attività di spionaggio.
Un tempo si faceva con le spie, intercettando la posta tradizionale, le comunicazioni telefoniche, le cimici, e tante altre belle cose sempre con idee talvolta incredibili, ed ora giustamente si svolge anche nel campo informatico.
L'utente dovrebbe preoccuparsi molto di più della fine che fanno i dati che inserisce ad esempio nei social network, visto che questo è un problema che riguarda milioni di persone e non 500 casi.
Scusate l'invasione di post, ma avendo passato il pomeriggio di questa domenica a documentarmi sull'argomento... e magari tutto questo può interessare alcuni di voi :)

In realtà non sembrerebbe vero quello che dice l'articolo di ArsTechnica sulla difficoltà di retro-engineer il firmware di un Hard Disk Drive. Ci sono riusciti un gruppo di ricercatori nella sicurezza già nel 2013 (pagati da fondi europei), e un noto hacker che spiega per filo e per segno come fare.

A piece of cake a quanto sembra.
Pgc: avevo un hd col firmware che litigava col Pc e l' ho aggiornato, facendo prima una copia con un programma preso dal sito del produttore.
Tornando in argomento, interessante la riflessione sul fatto che lo "spionaggio digitale" sia meno rischioso di quello "fisico", cosa anche vera ma in QUESTO caso specifico si tratterebbe di una combinazione dei due. In pratica bisogna far arrivare il disco "modificato" presso l'obiettivo e poi ritirarlo in un secondo momento.. Non so, mi pare macchinoso.
@Il Lupo
non sottovalutare l'elemento umano... vedi come si è diffuso Stuxnet...