image

Spionagegroep herprogrammeert firmware harde schijven

maandag 16 februari 2015, 21:12 door Redactie, 12 reacties

Onderzoekers hebben een groep zeer geavanceerde cyberspionnen ontdekt die mogelijk al 20 jaar actief is en dezelfde zero day-lekken gebruikte die uiteindelijk door de makers van de Stuxnetworm werden toegepast. Daarnaast ontwikkelden deze superspionnen malware om de firmware van allerlei populaire merken harde schijven te herprogrammeren, iets wat volgens de onderzoekers nog nooit eerder is vertoond.

De spionnen worden door het Russische anti-virusbedrijf Kaspersky Lab aangeduid als de "Equation Group". De eerste domeinen die de groep gebruikte voor het aansturen van besmette computers dateren van 2001, terwijl de eerste malware-exemplaren in 2002 zijn gemaakt. Andere domeinen die de groep voor het aansturen van de besmette computers gebruikte waren al in 1996 geregistreerd. Dat zou mogelijk inhouden dat de spionnen al bijna twee decennia actief zijn.

Geavanceerd

De Equation Group ontwikkelde verschillende malware-platformen die geavanceerder zijn dan de vorig jaar onthulde Regin-malware. Zo werd er onder andere een computerworm ontwikkeld die in 2008 allerlei informatie over doelwitten in Azië en het Midden-Oosten verzamelde. Deze worm, met de naam "Fanny", gebruikte twee zero day-lekken. Kwetsbaarheden die uiteindelijk ook voor Stuxnet werden gebruikt. Volgens Kaspersky houdt dit in dat de Equation Group ook Stuxnet ontwikkelde of met de ontwikkelaars van de worm samenwerkte.

De Fanny-worm had waarschijnlijk als doel om netwerken in kaart te brengen die niet op internet waren aangesloten. De malware werd onder andere via USB-sticks verspreid. Op besmette USB-sticks maakte Fanny een verborgen opslaggedeelte aan, waar het informatie over besmette systemen in bewaarde. Ook onderschepte de groep fysieke goederen en verving die door versies met Trojaanse paarden.

Een voorbeeld hiervan had betrekking op de deelnemers aan een wetenschappelijke conferentie in Houston: bij thuiskomst hadden enkele deelnemers een exemplaar van het conferentiemateriaal ontvangen op een cd-rom, die vervolgens werd gebruikt om het DoubleFantasy-implantaat van de groep te installeren op de machine van het doelwit. De exacte wijze waarop deze cd's werden onderschept is onbekend.

Naast USB-sticks en cd's gebruikte de spionagegroep ook web-based exploits. Zo werden er onder andere lekken in Java en Internet Explorer gebruikt om slachtoffers te infecteren. Ook werden er onbekende exploits, mogelijk zero days, tegen de Firefox 17-versie van Tor Browser ingezet. Tor Browser gebruikt een aangepaste Firefoxversie die door de Equation Groep werd aangevallen.

Slachtoffers

Sinds 2001 zouden de cyberspionnen duizenden computers in allerlei sectoren hebben geïnfecteerd, zoals overheden, telecom, energie, nanotechnologie, financiële instellingen, olie en gas en luchtvaart. De meeste slachtoffers bevinden zich in Iran en Rusland. In totaal telde Kaspersky Lab 500 slachtoffers, maar het werkelijke aantal ligt waarschijnlijk veel hoger, omdat de malware over een zelfvernietigingsmechanisme beschikt. Er wordt dan ook niet uitgesloten dat er mogelijk tienduizenden computers besmet zijn geraakt.

Firmware

Wat de groep echt laat opvallen is de mogelijkheid om de firmware van allerlei merken harde schijven te herprogrammeren. De onderzoekers wisten twee modules veilig te stellen die werden gebruikt voor het herprogrammeren van de firmware. Via deze methode konden de aanvallers het opnieuw installeren en formatteren van de harde schijf overleven. Daarnaast kon er een onzichtbare opslag op de harde schijf worden aangemaakt. De module zou echter op zeer beperkte schaal zijn ingezet, vermoedelijk tegen de meest waardevolle doelwitten.

"Een ander gevaarlijk gevolg is dat het onmogelijk is om de firmware te scannen zodra de harde schijf eenmaal is geïnfecteerd met deze kwaadaardige payload. Simpel gezegd: voor de meeste harde schijven zijn er functies om te schrijven in het firmwaregedeelte van de hardware, maar er zijn geen functies om het terug te lezen. Dit betekent dat we vrijwel blind zijn en geen harde schijven kunnen detecteren die zijn geïnfecteerd met deze malware", waarschuwt Costin Raiu, onderzoeksdirecteur bij Kaspersky Lab.

De mogelijkheid om een onzichtbaar en persistent gebied op de harde schijf te creëren wordt gebruikt om verzamelde informatie op te slaan die later kan worden opgehaald door de aanvallers. In sommige gevallen kan het de groep ook helpen de encryptie te kraken: "Gezien het feit dat hun GrayFish-implantaat direct actief is vanaf het opstarten van het systeem, hebben ze de mogelijkheid om het encryptiewachtwoord te onderscheppen en dit op te slaan in het verborgen gebied", verklaart Raiu.

Hoewel alle aangetroffen malware voor Windows werkte, zijn er ook sporen aangetroffen die op Mac OS X-malware duiden. Eén van de domeinen die werd gebruikt voor het aansturen van de besmette computers ontving allerlei verbindingen van Chinese Mac OS X-computers. Er wordt dan ook verondersteld dat er van tenminste één van de malware-platformen ook een Mac-versie is. Ook zou de groep over de mogelijkheid beschikken om iPhones te infecteren.

NSA

Ondanks het niveau van de malwareschrijvers hebben ze toch sporen achtergelaten. Zo werden in de onderzochte modules verschillende sleutelwoorden aangetroffen, zoals DESERTWINTER, STRAITSHOOTER en GROK. Deze laatste term verscheen eerder in NSA-documenten die door Der Spiegel werden gepubliceerd. Kaspersky Lab ontdekte de Equation Group tijdens het onderzoek naar de Regin-malware. Deze malware werd door de virusbestrijder aan de NSA toegeschreven. Daarnaast bestempelt de groep malware als "implantaten", een term die eerder in de NSA-documenten van Snowden verscheen. Daarnaast is de ontwikkeling van Stuxnet toegeschreven aan de NSA.

De komende dagen zal het Russische anti-virusbedrijf meer details over de groep en toegepaste werkwijze publiceren. Inmiddels is er al een document online verschenen (pdf) met aanwijzingen en details zodat onderzoekers en systeembeheerders kunnen controleren of er machines binnen hun organisatie of omgeving zijn getroffen. "Hoe meer we dit soort cyberspionage-operaties onderzoeken, des te meer we begrijpen hoe weinig we ervan weten. Samen kunnen we deze praktijken onthullen en aan een veiligere (cyber-)wereld werken", aldus de onderzoekers.

Image

Reacties (12)
16-02-2015, 21:56 door Anoniem
Knap van zowel Kaspersky als de NSA.. (Van een technisch standpunt bezien.)
Gisteren las ik al dat de NSA er van op de hoogte was dat deze schokkende onthulling zou komen:

"NSA braced for major new leaks"
"Foreign security firm uncovered cyber spy methods".

"The National Security Agency, still reeling from massive leaks caused by Edward Snowden, is preparing to be hit with another major loss of secrets, according to U.S. intelligence officials."

Bron: http://www.infowars.com/nsa-braced-for-major-new-leaks/
16-02-2015, 22:13 door Anoniem
De huidige internetbeveiliging is niet meer van deze tijd,de huidige computerbeveiliging is niet meer van deze tijd, en de huidige bestrijding van malware en hackers/crackers is niet meer van deze tijd. Wellicht tijd voor agressievere methoden om hackers aan te pakken. Ik denk aan zichzelf verdedigende en ja zelfs aanvallende computers,die een evt. agressor lokaliseren en vervolgens al dan niet via hetzelfde pad (herleiden gebruiken om de aanvallende computer(s) te vernielen dan wel deze zelf met mal-en spyware te besmetten, en ja van mij mag dit ook tegen de computers vd Staat en zijn veiligheidsdiensten (politie en geheime diensten) en tegen bevriende en vijandelijke staten gebruikt worden.Mijn computer vd toekomst mag geen onderscheidt maken tussen criminele hackers en aanvallende computers en staatshackers en staatscomputers.Men moet gewoon van mn computers afblijven en er dus ook uit blijven. Ook in verdedigend opzicht kan er nog veel verbeterd worden,vooral windows is 1 grote gatenkaas. Overwogen moet worden of de harde schijven niet beter afgeschaft kunnen worden,smartphones hebben toch ook geen harde schijf,of wel soms!?
16-02-2015, 22:17 door Anoniem
Belangrijke zaken zet je dus met pen op papier en berg je netjes op in een map. Zaken bespreek je ter plaatse onder vier ogen.
Niet via de telefoon en niks op een computer.

Beetje terug naar af.
Zou iedereen moeten doen. Kijken wie er de langste adem heeft.
Je geeft onduidelijke derden gewoon geen kans meer.
Binnen een week dondert het in elkaar.

De computer luistert af. De telefoon luistert mee.
De stroom kan uitvallen. De bestandsextensie kan zomaar wijzigen.
Je hebt nergens controle over. Zelfs over je bloedeigen zaken niet.
De agenda van papier die blijft. Die map met formulieren kan je zomaar openslaan zonder stopcontact.
En diegene die luistert kan je gewoon recht aankijken.
16-02-2015, 23:46 door Anoniem
Niet alleen harde schijven bevatten firmware die ge-update kan worden: camera's, USB sticks, scanners, muizen, toetsenborden, speakers, videokaarten, netwerkkaarten, cardreaders kunnen allemaal geïnfecteerd raken en gebruikt worden om mallware of data te vervoeren. Dat is niets nieuws en bestaat als zolang als er firmware bestaat.
17-02-2015, 01:24 door Anoniem
Ze zijn echt lekker bezig persberichten te spuwen daar, nietwaar.
17-02-2015, 07:05 door Anoniem
NUL in Nederland, niks aan de hand.
Next.

(Op naar de volgende Kaspersky advertorial)
17-02-2015, 07:18 door Anoniem
Oud nieuws dat je harde schijven kunt her programmeren.
Bij de CCC zijn daar al voordrachten over geweest.
17-02-2015, 09:06 door Anoniem
Door Anoniem: NUL in Nederland, niks aan de hand.
Next.

(Op naar de volgende Kaspersky advertorial)

Verkopen op basis van angst.
Leuke gimmick
17-02-2015, 10:36 door Anoniem
Eigenlijk wisten we dit al. NSA heeft met IRATEMONK immers hetzelfde gedaan. Ik heb samen met een collega student een klein onderzoekje gedaan naar protectie op dergelijke aanvallen (onder Linux). Het resultaat is terug te vinden als paper de naam: "Firmwall: Protecting hard disk firmware"
17-02-2015, 11:01 door Anoniem
Stuxnet, Duqu, Flame, Gauss en nu dit weer.
Zo aan de productie van deze malware te zien zal dit niet het laatste rapport van Kaspersky zijn.
Dus zet u allen maar schrap for the next generation espionage malware...
17-02-2015, 11:07 door Rien12
Ach er zijn genoeg gebruikers, beheerders die totaal niet op de hoogte zijn van dit soort gevaren, je kunt onmogelijk van alle gevaren op de hoogte blijven, als je druk bent met (werken) en zaken. niet iedereen zit dag en nacht achter de computer te hangen!!!
17-02-2015, 14:46 door Anoniem
Hehe. Eindelijk. Maar het was allang voorspelt aan het gemakzuchtige volk.
En krijgen we dan nu eindelijk ons "write protect" -jumpertje terug dat je vroeger altijd beslist eerst even fysiek moest omzetten om firmware te kunnen laden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.