Вирус. Похоже, мы скоро станем свидетелями кибервойны

отметили
40
человек
в архиве
Вирус. Похоже, мы скоро станем свидетелями кибервойны
источник: imhoclub.lv

Недавно лаборатория Касперского поделилась интересной новостью, взбудоражившей интернет, — и не только об обнаружении некоего доселе неизвестного вируса, которым заражены миллионы компьютеров по всему миру.
Цитата:

Российская компания «Лаборатория Касперского» идентифицировала вирус, созданный хакерской сетью The Equation Group.

Наибольшее число жертв обнаружено в России и Иране. В России пострадали, в частности, компьютеры правительственных учреждений, исследовательских институтов, объектов энергетики, университетов, военных ведомств, аэрокосмической отрасли, компаний, работающих в сфере телекоммуникации и медицины.
Точное количество жертв вируса в России в «Лаборатории» назвать отказались.
Основная цель вируса The Equation Group — конфиденциальная информация. Заражение жестких дисков производилось в рамках целевой атаки на конкретных жертв. Хакеры могли заражать компьютеры конкретных сотрудников определенных организаций, обладающих важной информацией.
Специальный скрипт определяет, насколько пользователь интересен The Equation Group. Если пользователь соответствует заданным хакерами параметрам, на его компьютер попадает троянская программа DoubleFantasy, которая позволяет окончательно определить, действительно ли пользователь является подходящей целью хакеров.
Только после этого на компьютер жертвы внедряется сложная платформа, состоящая из набора вредоносного ПО, в частности, содержащая модуль, с помощью которого осуществляется перепрограммирование жесткого диска.

Из этого сообщения ясно было, что вредоносное ПО размещалось на жестких дисках (были озвучены более 10 производителей, в том числе Seagate, Western Digital, Toshiba, Maxtor и IBM).
Т.е. речь идет о технологии, способной перепрограммировать заводские прошивки жестких дисков. Избавиться от таких вирусов можно лишь сменив жесткий диск — форматирование и переустановка операционной системы не поможет.

Через мои руки прошло немало дисков, кое-какие испорченные валяются на гаражных полках, сам не пойму, для чего.

То, что заводские прошивки на дисках есть, известно. Стоит вам поставить на компьютер новый диск — и операционная система тут же узнает, что это за диск, кто производитель, какой серийный номер и т.п. Но для этих данных много памяти не требуется, а какова реальная память этих прошивок, меня, например, никогда не заботило.
А тут вдруг заинтересовало. Решил я проверить, какой объем памяти используется для заводских прошивок в дисках.

Или даже так — каков потенциальный объем памяти, в которой могли бы быть размещены вредоносные программы.
Для этого потребовалось разломать контроллеры разных дисков, добраться до микрочипов, которые могут потенциально служить памятью для прошивок, и по их идентификаторам определить объем памяти. Для тех, кто не забыл, как держать паяльник, это дело несложное.

Вот на фотографии стандартная плата хард-диска:

Добавил waplaw waplaw 25 Февраля 2015
проблема (1)
Комментарии участников:
waplaw
+9
waplaw, 25 Февраля 2015 , url
источник: imhoclub.lv

Что мы имеем:

Номер 1 — микросхема DRAM. Интереса как такового не представляет. Память таких чипов колеблется от 8 до 64 Мб и соответствуют размеру кеша жесткого диска. Никаких программ и прошивок там не разместить.

Номер 2 — контроллер двигателя вращения шпинделя. Отвечает за управление механикой, регулирует мощность и имеет внутри аналоговые/цифровые каналы. Иногда именно АЦП этого чипа и используют электронщики в своих самодельных гаджетах. Таких микросхем полно, а суть одна — стабилизация вращения, запуск вращения, остановка вращения.

Номер 3 — флеш-память. В некоторых дисках эта микросхема отсутствует, а память бывает встроена в чип контроллера диска. Размер в пределах от 64 до 256 Кб. Используется для хранения программы, управляющей контроллером жесткого диска. Но какую-либо вирусную программу сюда записать затруднительно.

Номер 4 — самая любопытная часть — контроллер жесткого диска. Многие компании, производящие диски, делают свои собственные контроллеры. Например, Samsung и Western Digital ставят исключительно собственные чипы.


Наверное, Касперский со товарищи нашел нечто именно здесь. Вопрос — как он это нашел?

Несмотря на то, что никогда не пользовался антивирусом Касперского, лаборатории его верю полностью, тем более что ничего принципиально нового в данном случае она не открыла.

Это же понятно, что производитель «железа» и производитель «софта» могут легко договориться и внедрить в свой продукт только им известные программные коды, обнаружить которые сторонним исследователям будет невозможно потому, что изначально неясно, что и где искать.


В связи с этим вспомнилась история развала целой отрасли микроэлектроники.

Чтобы иметь собственные аналоги, разбирались на кусочки западные микрочипы. Создавались виртуальные топологические схемы, а потом и реальные копии. Но потом появились многофункциональные программируемые контроллеры, и копирование таких чипов стало делом бесполезным — программу-то внутри на атомы не разобрать, а без нее даже точно скопированный чип — всего лишь пустышка.

И все-таки зря прекратилось «тупое копирование». Навыки технологии копирования упущены, а вот способы читать программы внутри неизвестного контроллера появились. Мне даже в интернете удалось отыскать примеры таких инструментов. Вот, например, один из них. Информация найдена на форуме forum.hddguru.com.

Там же приводится и описание одного из подобных контроллеров.

Любители глубоких расковырок обнаружили в контроллере Western Digital три ядра, подобных АРМ9. Одно ядро обрабатывает физические операции «чтение/запись», другое управляет SATA интерфейсом, а вот третье выполняет неопределенные функции.

Исследователь взял и просто отключил его от схемы — и ничего не произошло. Как работал диск, так и продолжал работать.

Интересно реагировали участники форума. Их не интересовало, чем занимается это ядро контроллера, они стали делиться информацией, как отключить все ненужное. А сам умник на этом не остановился, стал копать глубже, разобрался в коде и даже предложил свой код взамен встроенному. Этим кодом поделился с другими. Его можно скачать вот по этой ссылке.

Но чувствую, что забиваю головы не нужными никому подробностями.


Теперь становится более-менее понятно, как удалось Касперскому сделать свое «открытие».

Вопрос — что дальше?

Если поиграть в шпионские страсти, то можно написать про успех российских спецслужб, которые сигналят типа «мы все знаем про ваши фокусы». А может, наоборот — американские спецслужбы подкинули информацию, чтобы «российские мужики» покрылись холодным потом при мысли об американской технологической мощи.

Похоже, мы скоро действительно станем свидетелями кибервойны, о которой все чаще стали упоминать в прессе.

В принципе, можно поверить в волшебную кнопку, которую стоит нажать, и встанет все — поезда, самолеты, светофоры, радио, телевидение…

Равно как можно поверить и в ответ: большой болт мы, мол, клали на вашу электронику — ваши истребители без компьютера не смогут сбить даже российский кукурузник времен войны в Испании.

А что касается дисков, вы можете легко проверить ваши устройства.

Достаточно открыть заднюю крышку ноутбука и списать заводской номер диска. Потом на этом сайте ввести его, и получите информацию — кто, чего, сколько, когда.

Evil Lexus
-4
Evil Lexus, 25 Февраля 2015 , url
ПОКАЙТЕСЬ!!! тьфу, ставьте Линукс!!! :)
badbag
+12
badbag, 25 Февраля 2015 , url
Не имеет значения, какая операционная система стоит, обработка и отправка информации ведется с встроенной миниОС(и можете порадоваться — она основана на Линукс).

shifty
+1
shifty, 25 Февраля 2015 , url
В прошивку всю ось не засунуть. Даже мини.
А если у тебя линукс то компьютер изначально сложней заразить. По аналогии человеку трудней заболеть болезнью свиней или птиц. Уязвимые места есть, но не те же самые.
Хотя да, бывают особо хитрые гриппы.
badbag
+1
badbag, 25 Февраля 2015 , url
вы хоть статью прочитайте прежде, чем отвечать
vhagen
+1
vhagen, 25 Февраля 2015 , url
MenuetOS — дистрибутивы от 120 до 750Кб
QNX demodisk — 1,4Мб (с графической оболочкой)
Mungkie Linux — 1,4Мб (с графической оболочкой)

Множество FreeBSD и Linux дистрибутивов позволяют запустить установку с флоппика, далее в автоматическом режиме скачав и установив полноценный дистрибутив. Т.е. они умеют работать с диском, биосом и интернетом. Что еще нужно вирусу?
Max Folder
+1
Max Folder, 25 Февраля 2015 , url
Вообще не понял, о чем статья. Более-менее внятная новость про открытие Касперского, а потом невнятное авторское бу-бу-бу.
KonstantinVC
-4
KonstantinVC, 25 Февраля 2015 , url
новость уже была news2.ru/story/443582/
ку
+7
ку, 25 Февраля 2015 , url
А что касается дисков, вы можете легко проверить ваши устройства.

Достаточно открыть заднюю крышку ноутбука и списать заводской номер диска. Потом на этом сайте ввести его, и получите информацию — кто, чего, сколько, когда.

И что?
Ну ввел серийник, а где говорится есть там шпион али нету? :)))
Lynnot78
-1
Lynnot78, 25 Февраля 2015 , url
Типа, желание Каспера получить подряд на контроль «особоважных» носителей или делать самим…
Танкоград
+1
Танкоград, 25 Февраля 2015 , url
тема интересная, конечно…
но учитывая репутацию тов. Касперского на предмет его огульной маркетинговой политики, основанной на сюжетах аля РЕНтв — хуйня из под ногтей.
Капсерский, залогинься!
devl547
+1
devl547, 25 Февраля 2015 , url
Любители глубоких расковырок обнаружили в контроллере Western Digital три ядра, подобных АРМ9. Одно ядро обрабатывает физические операции «чтение/запись», другое управляет SATA интерфейсом, а вот третье выполняет неопределенные функции. Исследователь взял и просто отключил его от схемы — и ничего не произошло. Как работал диск, так и продолжал работать.

Вот в это месте самая странность. Как он отключил кусок кристалла внутри чипа?
Ну и откуда инфа что на каком ядре крутится?
avalonsys
-1
avalonsys, 25 Февраля 2015 , url
Страшилка!
Marlan
0
Marlan, 25 Февраля 2015 , url
некоего доселе неизвестного вируса, которым заражены миллионы компьютеров по всему миру
Вопрос 1: чем занимаются антивирусные лаборатории, если для идентификации вируса нужно установить несколько миллионов копий?
Вопрос 2: если в мире существует около миллиона вирусов, а для попадания вируса в базу нужно заразить миллион компов, то насколько в принципе надежна такая штука как антивирус?
CedarMill
0
CedarMill, 25 Февраля 2015 , url
1. Ходят легенды, что часть онлайн вирусов создают антивирусные компании
2. и когда про антивирусные компании забывают (падает их выручка), они из рукава вытаскивают козыря в виде супер опасного вируса, которым размахивают и предлагают купить антивирус

тоже самое, что со свиным гриппом, птичьим, итд =)
Marlan
0
Marlan, 25 Февраля 2015 , url
В данном случае по моему антивирусная компания пишет что они не способны ничего сделать с указанной угрозой.
Marlan
0
Marlan, 25 Февраля 2015 , url
Вопрос 3 — зачем вирусу перепрограммировать жесткий диск? (жа еще и такой гемморой как знание всех железок и для каждой свой софт).
Вопрос 4 — реально ли из виндоуса перепрограммировать жесткий диск не замыкая при этом никаких перемычек?
blogman
+2
blogman, 26 Февраля 2015 , url
Пацаны узнали про аппаратные закладки. Браво.


Войдите или станьте участником, чтобы комментировать