A Agência de Segurança Nacional dos EUA descobriu como esconder
programas espiões dentro do firmware de HDs feitos por Western Digital,
Seagate e Toshiba, entre outras marcas. A descoberta, que mostra um dos
métodos usados pela NSA para monitorar e espionar computadores ao redor do mundo, foi feita pela Kaspersky e confirmada à Reuters por fontes próximas à agência.
A metodologia permaneceu em segredo até o começo desta semana, quando
pesquisadores da empresa de segurança russa descreveram ataques feitos
pelo Equation Group – um grupo “único em quase todos os aspectos de suas
ações”, segundo o texto. “Eles usam ferramentas que são muito
complicadas e caras de se desenvolver, de forma a infectar vítimas,
colher dados e esconder as atividades de um modo incrivelmente
profissional”, escreveu a companhia
Os espiões se utilizam de “implantes” – ou trojans –, alguns
descobertos e nomeados pela Kaspersky, como o EquationLaser, o
EquationDrug, o GrayFish e o mais curioso Fanny. Este último é capaz de
mapear e “entender a topologia de redes que não podem ser alcançadas,
além de executar comandos nesses sistemas isolados”.
Os malware são instalados por meio de módulos que reprogramam o
firmware de discos rígidos da Samsung, da Maxtor e da Hitachi, além das
outras já citadas. Dessa forma, o malware espião consegue se reinstalar
mesmo que o HD seja formatado e permanece indetectável – mais ou menos
como acontece no caso do BadUSB.
Para os ataques funcionarem, porém, brechas precisariam existir – e a
Kaspersky detectou pelo menos sete delas, todas sem correção, usadas
pelo grupo. Uma das vulnerabilidades, aliás, estava no Firefox 17, que é
parte do Tor Browser Bundle.
Por estarem ligados ao firmware, os vírus também devem ser capazes de
criar uma pequena partição própria, que pode ajudar até a quebrar
criptografia. Segundo a Kaspersky, o GrayFish, por exemplo, começa a
funcionar a partir do boot e tem a “capacidade de capturar uma senha e
salvá-la nessa área escondida” – repassando depois a informação.
De acordo com a Reuters, informações relacionadas a essa campanha de
espionagem já datam de 2001, e a equipe responsável por ela teria
relação com a do Stuxnet, o vírus usado pela NSA “para atacar unidades
de enriquecimento de Urânio no Irã”. Os alvos principais, desta vez,
eram instituições militares e governamentais, empresas de
telecomunicações, bancos e companhias de energia, pesquisa nuclear,
mídia e ativistas islâmicos – todos de países como Irã, Rússia,
Paquistão, Afeganistão, Índia e China, os mais atacados.
Da INFO
0 Comentários