211service.com
Niet alleen de NSA weet hoe ze onuitwisbare malware kan maken
Het Russische beveiligingsbedrijf Kaspersky beschreef afgelopen weekend een suite van uiterst geavanceerde hacktools die sinds 2008 zijn gebruikt om overheids-, leger- en bedrijfscomputers in 30 landen over de hele wereld te infiltreren. Reuters meldt dat het was het werk van de Amerikaanse National Security Agency .
De meest opvallende bevinding van Kaspersky was dat de toolkit van wat zij de Equation Group noemt, malware kan injecteren in de software die is ingebed in harde schijven. Die firmware is niet alleen onzichtbaar voor conventionele beveiligingssoftware, maar kwaadaardige code die erin verborgen zit, kan tevoorschijn komen om een computer over te nemen, zelfs nadat de harde schijf zorgvuldig is gewist. Costin Raiu, een onderzoeker bij Kaspersky, vertelde de New York Times dat de techniek onderzoekers zoals hij praktisch blind maakte.
Die indrukwekkende truc legt een nieuwe lat voor de verfijning van malware die in het wild is gevangen. En het heeft geleid tot speculatie dat de NSA hulp had van fabrikanten van harde schijven, bijvoorbeeld door toegang te krijgen tot details over hoe hun firmware werkte.
Maar ondanks suggesties zou het zijn zo goed als onmogelijk zelfs voor de NSA om de firmware van de harde schijf te reverse-engineeren zonder dergelijke hulp, lijkt dit goed binnen zijn bereik te liggen - en ook dat van vele anderen. De afgelopen jaren hebben hackers en onderzoekers met een veel kleiner budget dan de NSA's de firmware van harde schijven en andere apparaten reverse-engineered en hun eigen onzichtbare malware gedemonstreerd.
Dat wekt het vooruitzicht dat meerdere nationale inlichtingendiensten - en misschien zelfs groepen zonder steun van de overheid - de techniek zouden kunnen gebruiken. Weinig of geen beveiligingsonderzoekers zijn op zoek naar dergelijke aanvallen omdat ze in wezen onzichtbaar zijn.
Iedereen die wil beginnen met het hacken van firmware op de harde schijf, doet er goed aan hiermee te beginnen pagina over het onderwerp van de productieve hacker Jereom Domburg. In 2013 hield hij verschillende lezingen over zijn onderzoek en liet hij zien hoe het hem in staat stelde om op afstand een server overnemen met een harde schijf gemaakt door Western Digital, een toonaangevende fabrikant wiens schijven ook het doelwit waren van Equation Group.
Ook in 2013 gingen academische onderzoekers zelfstandig nog verder en verschillende proof-of-concept-aanvallen ontwikkeld tegen een harde schijf van een andere fabrikant. Ze lieten zien hoe de firmware van een schijf op afstand kon worden geïnfecteerd en maakten een systeem om via internet te communiceren met de onuitwisbare malware om opdrachten te verzenden en gegevens zoals coderingssleutels te kopiëren. Deze regel uit de samenvatting van de academische paper heeft nieuwe aannemelijkheid gekregen na wat we in het weekend hebben geleerd:
De moeilijkheid om een dergelijke aanval uit te voeren beperkt zich niet tot de cyberoorlogvoering van de overheid; het ligt eerder binnen het bereik van matig gefinancierde criminelen, botnet-herders en academische onderzoekers.
Op de Black Hat-beveiligingsconferentie afgelopen zomer beschreven twee onderzoekers hoe ze reverse-engineering van de firmware van USB-sticks om er code in te verbergen die stilletjes een computer kan overnemen.
Een jaar eerder toonde een andere onderzoeker op hetzelfde evenement proof-of-concept-malware die zich in de BIOS-chip van een computer zou kunnen verbergen, die in actie komt om de bedieningsstang gereed te maken wanneer u op de aan / uit-knop drukt. Die malware kan zelfs een back-up maken in de firmware van andere componenten van een computer, zoals de netwerkkaart, om zichzelf te herstellen naar de BIOS-chip als de firmware om de een of andere reden is opgeschoond (zie Een computerinfectie die nooit kan worden genezen ).
Geen van de aanvallen van deze onderzoekers was gemakkelijk te ontwikkelen, of zelfs bewezen in real-world aanvallen. En de vaardigheden die nodig zijn om dergelijke dingen te maken, zijn niet zo wijdverbreid als die nodig zijn om bijvoorbeeld een computer te hacken met behulp van een e-mailbijlage. Maar ze bestaan zeker op plaatsen buiten de Amerikaanse regering.
Het rapport van Kaspersky heeft waarschijnlijk allerlei mensen geïnspireerd om na te denken over het hacken van de firmware van harde schijven en andere computercomponenten. Hopelijk zullen sommigen van hen werken aan het ontwikkelen van oplossingen en verdedigingen.