De kwaadaardige firmware die een groep cyberspionnen inzet om computers permanent te kunnen blijven bespioneren is nauwelijks te detecteren en zeer lastig te verwijderen. "Het is extreem lastig te detecteren. Vanaf het softwareniveau is het zelfs onmogelijk", zegt Vitaly Kamluk, onderzoeker van Kaspersky Lab.
Het Russische anti-virusbedrijf onthulde deze week het bestaan van de spionagegroep die allerlei zeer geavanceerde malware ontwikkelde. Eén onderdeel viel echter op, namelijk de mogelijkheid om de firmware van allerlei populaire merken harde schijven te infecteren. Daardoor blijft de malware verborgen en actief, ook al wordt de harde schijf geformatteerd of het besturingssysteem opnieuw geïnstalleerd. Daarnaast zorgt de code ervoor dat de aanvallers een onzichtbare opslag op de harde schijf kunnen aanmaken.
"Dit is uniek en de eerste keer dat we dit niveau van complexiteit van een geavanceerde aanvaller hebben gezien", aldus de beveiligingsonderzoeker. Toch zou de module zelden zijn ingezet. "Slechts een zeer selecte lijst van slachtoffers heeft dit ontvangen. Dit is één van de meest bijzondere modules die ik heb gezien omdat die zo waardevol is. Ze willen dus niet dat die bekend wordt", liet Kamluk deze week tijdens een conferentie weten, zo meldt Threat Post.
"Het is een waardevolle plug-in die alleen in specifieke gevallen voor zeer belangrijke personen wordt gebruikt." Om de kwaadaardige firmware te detecteren moet de pc uit elkaar worden gehaald en er een dump van de firmware worden gemaakt. "En we denken dat slechts een paar mensen in de wereld in staat zijn om de kwaadaardige code binnen de firmware te analyseren, te vergelijken en te ontdekken", stelt Kamluk.
Volgens de onderzoeker kost het jaren om firmware te kunnen schrijven. De spionagegroep zou echter geen kwetsbaarheid gebruiken, maar alleen meeliften op de manier waarop fabrikanten firmware-updates uitrollen. "Ze hebben de deur opengelaten en mogelijk stond die al jaren open. De truc is dat je de volledige omschrijving, de volledige referentie van de huidige firmware moet hebben en hoe die werkt."
Kamluk speculeert dat de aanvallers waarschijnlijk toegang tot interne handleidingen en documentatie van de betreffende leveranciers hebben. Handleidingen die mogelijk zijn gestolen door een insider of via een andere malware-aanval. "Ze maken geen misbruik van een lek in de code. Het is een fout in het ontwerp." Vanwege de proprietary communicatieprotocollen en algoritmes kostte het de onderzoekers maanden voordat ze doorhadden hoe de malware precies werkte. Een daadwerkelijk besmette firmware hebben de onderzoekers nog niet kunnen vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.