Podľa Kaspersky Lab je identifikovaný škodlivý kód prvým infikujúcim firmvér pevných diskov a najsofistikovanejšou hrozbou vyvinutou Equation. Skupina ho má používať ale len veľmi výnimočne.
Najnovšia verzia 4 škodlivého kódu dokáže podľa informácií Kaspersky Lab infikovať pevné disky všetkých súčasných hlavných výrobcov aj výrobcov z predchádzajúcich rokov, Seagate, Western Digital, HGST, Hitachi, IBM, Samsung, Maxtor, Toshiba.
Podľa informácií spoločnosti pre agentúru Reuters museli mať autori škodlivého kódu prístup k zdrojovým kódom firmvéru pevných diskov, pričom pre preprogramovanie využívajú viaceré nezdokumentované funkcie. Samotný zmenený firmvér nie je súčasťou škodlivého kódu a či má Kaspersky Lab k dispozícii nejaký konkrétny zmenený firmvér a úspešne ho analyzovala nie je jasné.
Western Digital, Seagate a Micron podľa svojich stanovísk pre Reuters o tomto škodlivom kóde nič nevedia a Western Digital podľa svojho stanoviska vládnym agentúram zdrojový kód svojho firmvéru neposkytol.
Skupina Equation celkovo používa ale viacero sofistikovaných techník a okrem iného mala k dispozícii a používala viaceré verejne neznáme bezpečnostné chyby, ktoré neskôr použil aj americký špionážny malvér Stuxnet.
Prečítajte si tiež: Luk pre začiatočníkov
Kaspersky Lab explicitne verejne Equation s NSA nespája. Podľa informácií agentúry Reuters má byť ale Equation americkým špionážnym programom a bývalý agent tajných služieb agentúre potvrdil, že NSA vyvinula techniku skrývania spywaru v pevných diskoch.
Technické detaily a dopad
Perhaps the most powerful tool in the Equation group's arsenal is a mysterious module known only by a cryptic name: "nls_933w.dll". It allows them to reprogram the hard drive firmware of over a dozen different hard drive brands, including Seagate, Western Digital, Toshiba, Maxtor and IBM. This is an astonishing technical accomplishment and is testament to the group's abilities.
Potom, čo "nls_933w.dll" nainštaluje malware do firmvéru na pevný disk, neexistuje žiadny spôsob, ako ho odstrániť. Rozdelenie disku nebude mať na to ziaden vplyv. Preformatovanie nemá žiaden vplyv. Jediný spôsob, ako sa zbaviť tohto malwaru z cieľového počítača, je fyzicky zničiť pevný disk. Alebo prepisat firmware, pokial teda ale je k dispozicii, pretoze vyrobci hdd ho vacsinou neposkytuju, skor len vo vynimocnych pripadoch.
Možné riešenia a diskusia
Myslim ze riesenim je otvoreny hw a otvoreny fw. Ale to sa neda, este aj v linuxovom PC mas kopu uzavreteho firmveru, samozrejme nie v jadre, ale v kadejakych ovladacoch, na ktore vyrobcovia neracia ukazat zdrojak. Este aj poondeny CPU ma firmver a samozrejme s dakou dierou, bol tu clanok.
Lenze dnes je biznis postaveny tak, ze tlacime co najrychlejsie do predaja komponenty, inteligentne spotrebice, auta... a s chybami, ktore sa potom dotahuju aktualizaciami. Niektore problemy sa ukazu az po dlhodobejsom pouzivani/opotrebeni a na take odladenie vyrobcovia nemaju cas - vsetci chcu najnovsiu najlacnejsiu techniku a okamzite, aby konkurovali znackam, ktore robia presne to iste.
Riesenie ramdisk ?
Tabuľka výrobcov pevných diskov, ktorých sa týka Nakashi
| Výrobca |
|---|
| Seagate |
| Western Digital |
| HGST |
| Hitachi |
| IBM |
| Samsung |
| Maxtor |
| Toshiba |