Home News Equation Group spia qualsiasi hard disk, con lo zampino NSA
Equation Group spia qualsiasi hard disk, con lo zampino NSA PDF Stampa E-mail
Mercoledì 18 Febbraio 2015 10:00

Rivelazioni che hanno del fantascientifico, quelle rilasciate dal Global Research Analysis Team (GReAT) di Kaspersky Lab e confermate a Reuteurs da fonti che lavorano con l’agenzia NSA. Un gruppo di hacker, soprannominato Equation Group per l’incredibile inclinazione a usare algoritmi di spionaggio molto complessi, avrebbe perpetrato per oltre 14 anni un incredibile attacco a migliaia di computer, infiltrandone anche i firmware degli hard disk.

Nessuna trama di film, ma una realtà inquietante secondo cui tutti i brand di hard disk (Seagate, Western Digital, Samsung, Micron, OCZ, Corsair, Toshiba) sarebbero stati riprogrammati nel filrmware con una versione proprietaria del software di gestione del disco, per fornire, attraverso opportune API, un controllo diretto del computer del malcapitato e l’accesso a tutta una serie di settori nascosti del disco.

La possibilità di riprogrammare il firmware di un hard disk è una realtà già dimostrata e ha risvolti particolarmente seri nell’ambito della sicurezza.

Il problema principale è la persistenza della minaccia a qualsiasi tipo di azione di pulizia, alla formattazione e alla reinstallazione del sistema operativo. Inoltre, nessun antivirus è capace di effettuare una scansione del firmware del disco rigido, in quanto spesso viene negata la lettura di quel codice, rendendo così i sistemi antivirali incapaci di individuare eventuali minacce.

Un’altra conseguenza di non poco conto è l’opportunità di creare sul disco uno spazio invisibile a gestione remota, dove il malware può salvare alcune informazioni che possono essere recuperate dagli attaccanti in diverse occasioni e con diverse tecniche. Ad esempio, uno dei malware di Equation Group, denominato Grayfish, è attivo fin dal boot del computer, per cui sarebbe capace di catturare le password di cifratura e salvarle in quest’area per poi consentirne il recupero agli hacker.

Componenti come Grayfish ne sono stati individuati almeno altre sei da Kaspersky: Equationdrug, Doublefantasy, Equestre, Triplefantasy, Grayfish, Fanny ed Equationlaser sarebbero le diverse piattaforme malware usate dal gruppo.

Equation Group spia qualsiasi hard disk, con lo zampino NSA

Come avviene l’attacco di Equation Group

E tutte concorrono per mettere in atto uno schema di attacco sempre più o meno simile: si infetta la vittima attraverso pagine Web, false email e altre tecniche di phishing o raggiri che prevedono la sostituzione di CD originali con copie infette e la distribuzione di chiavette USB.

Il Trojan di base di Equation Group che entra in contatto con il PC del malcapitato (si tratta dei malware Doublefantasy e Triplefantasy), verifica che il computer infettato sia quello della vittima designata. Se il riscontro è positivo, il malware effettua l’upgrade verso altri worm più incisivi come Equationdrug, Equestre, Fanny o Equationlaser che, in tandem con Grayfish, forniscono il controllo remoto del computer infettato.

Equation Group spia qualsiasi hard disk, con lo zampino NSA

Gli obiettivi dell’attacco di Equation Group

Secondo Kaspersky l’attacco Equation Group è stato usato solo per vittime e bersagli di particolare interesse e l’infezione avrebbe colpito enti governativi, istituzioni diplomatiche, TLC, aziende aerospaziali, società energetiche, enti di ricerca, industrie e gruppi di ricerca sulle nanotecnologie, centrali nucleari, aziende petrolifere, basi militari, gruppi islamici, studenti, mass media, società di trasporti, istituti finanziari e società IT al servizio della crittografia, sparse in almeno 30 paesi del mondo, fra cui Iran, Russia, Siria, Afghanistan, Kazakistan, Belgio, Somalia, Hong Kong, Libia, Emirati Arabi Uniti, Iraq, Nigeria, Ecuador, Messico, Malesia, USA, Sudan, Libano, Palestina, Francia, Germania, Singapore, Qatar, Pakistan, Yemen, Mali, Svizzera, Bangladesh, Sud Africa, Filippine, Regno Unito, India e Brasile.

Equation Group spia qualsiasi hard disk, con lo zampino NSA

Il meccanismo di autodistruzione dell’infezione potrebbe aver mietuto migliaia e migliaia di vittime negli oltre 14 anni di attività anche se oggi Kaspersky conta oltre 500 vittime nel mondo, fra cui uno scienziato dallo pseudonimo Grzegor Brzęczyszczykiewicz. Dopo un convegno di luminari a Houston nel 2009, Brzęczyszczykiewicz ricevette un CD con le foto dell’evento (come spesso accade in queste occasioni), ma nessuno avrebbe mai sospettato che quello non fosse il CD originale, ma un disco di Equation Group capace di trasformare il PC di destinazione in una vittima della più potente organizzazione di cyber-spionaggio al mondo, infettando il sistema con tre exploit, di cui due di tipo zero-day.

I dubbi dello zampino del NSA nell’attacco Equation Group

Anche se Kaspersky non fa esplicito riferimento all’agenzia governativa statunitense NSA, coinvolta nello scandalo Datagate, l’arsenale a disposizione dell’Equation Group (e la conferma data a Reuteurs) farebbe pensare che l’ombra dell’ente NSA sia più che un semplice dubbio. L’infezione quattordicenne usa un file system virtuale (scoperto soltanto qualche anno fa nel supermalware Regin), il Registro di Windows (nonostante sia capace di attaccare anche sistemi operativi Mac OS e iOS) per superare le restrizioni alla firma digitale delle moderne versioni del sistema operativo Microsoft, più di 300 domini e 100 server (ospitati in USA, Regno Unito, Italia, Germania, Paesi Bassi, Panama, Costa Rica, Malesia, Colombia e Repubblica Ceca) e pendrive USB usate per compromettere i sistemi non connessi ad alcun network. A questi si aggiungono exploit ignoti, altri visti solo di recente come nel caso del malware Stuxnet e altre tecnologie che sembrano coincidere con quelle rivelate da Edward Snowden nell’ambito Datagate.

Infine, c’è da chiedersi come l’Equation Group abbia avuto accesso al codice sorgente proprietario degli hard disk. E se le case costruttrici dichiarano di non aver mai fornito questi codici a nessuno, c’è chi racconta che in qualche modo lo hanno fatto, forse inconsapevolmente, fornendo tutte le informazioni, in apparenza innocue, richieste nei bandi per diventare fornitori tecnologici degli enti della difesa statunitensi.

Insomma, tutte le prove sarebbero contro l’accusata NSA, che si è ben guardata dal commentare le rivelazioni di Kaspersky e le voci dei media.

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.