КАНКУН. На экране мелькают названия: Samsung, Seagate, Western Digital, Hitachi, Maxtor. Производители аппаратуры оказались на прицеле у APT-группы Equation, и это, возможно, наихудший сценарий, который могли придумать исследователи, учитывая пугающий и весьма обширный набор возможностей вредоносной платформы.

Распространяя свое присутствие на прошивку жесткого диска, эта шпионская группа добивается вечного заражения компьютеров. Никакие усилия не помогут вычистить модуль nls_933w.dll из железа.

«Это идеальный механизм стойкости, и он имеет предельную устойчивость к удалению. Это следующий уровень стойкости, доселе невиданный, — сказал Виталий Камлюк, ведущий антивирусный эксперт Центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского». — Это уникально, и это первый раз, когда мы видим такой уровень сложности со стороны продвинутых злоумышленников».

В понедельник во время выступления на саммите вирусных аналитиков Камлюк назвал данный модуль идеальным инструментом для кибератак, краеугольным камнем так называемой группы Equation, 15-летней операции, которую экспертам «Лаборатории Касперского» удалось связать со Stuxnet и Flame. Арсенал атак Equation, включающий несколько эксплойтов уязвимостей нулевого дня, применялся для шпионажа против важных целей, таких как правительственные учреждения, посольства, энергетические и телекоммуникационные компании, преимущественно из России, Сирии, Ирана и Пакистана.

При этом, по словам Камлюка, модуль стойкости Equation применяется редко.

«Его получали лишь избранные жертвы. Это один из самых редких модулей, которые я видел, так как он очень ценен и они не хотели «светить» его, — рассказал Камлюк. — Это драгоценный плагин, который используется лишь в особых случаях против кого-то очень важного».

Его основной задачей является обеспечение стойкости заражения, и он делает это хорошо. Как сказал Камлюк, он, скорее всего, применяется и сейчас.

«Его крайне сложно обнаружить, а на программном уровне и вовсе невозможно, — сообщил Камлюк. — Вам нужно разобрать ваш компьютер, извлечь жесткий диск и передать эксперту для анализа прошивки. Причем, по нашему мнению, в мире есть очень мало людей, способных проанализировать, сравнить и выявить вредоносный код в этой прошивке. Для этого понадобится крайне редкий специалист в этой области».

В докладе об Equation описываются две функции этого модуля: перепрошивка микропрограммы HDD и обеспечение доступа к скрытым секторам жесткого диска. Он не только дает злоумышленникам вечное присутствие, позволяющее «пережить» форматирование диска и переустановку операционной системы, у них также появляется необнаруживаемое вечное хранилище данных внутри жесткого диска.

«Этот модуль дает нам четкое понимание их возможностей», — сказал Камлюк.

Он объяснил, что nls_933w.dll содержит драйвер, который устанавливает зловреда. По словам Камлюка, этот драйвер работает с жестким диском с уровня ядра.

«Не то чтобы код был очень уж сложным — он использует определенные последовательности ATA-команд для работы с жестким диском, но сложную часть мы и не видели. Речь о собственно перепрограммировании прошивки, — сказал Камлюк. — Чтобы освоить написание прошивок, требуются годы. Мы судим об уровне сложности, просто увидев, на что они способны, но самой прошивки у нас нет».

Камлюк рассказал, что группа Equation эксплуатирует не уязвимость в традиционном смысле, а скорее особенность дизайна жестких дисков, которая позволяет производителям обновлять прошивки.

«Они оставили дверь открытой, и она была открыта на протяжении многих лет. Хитрость в том, что необходимо обладать полным описанием текущей прошивки жесткого диска и знанием, как она работает. Вам нужно знать, как правильно написать и взаимодействовать с аппаратурой, чтобы развернуть новый код. Это крайне сложно и требует исключительных навыков и знания о том, как все устроено».

Камлюк предположил, что злоумышленники, скорее всего, имели доступ к внутренним документам и руководствам каждого упомянутого производителя. Скорее всего, документы были украдены либо инсайдером, либо с помощью отдельной вредоносной атаки.

«Они не эксплуатируют ошибку кода. Это изъян дизайна», — сказал Камлюк.

Когда эксперты «Лаборатории Касперского» начали исследовать Equation, обнаружив сотни файлов и плагины всех типов, этот конкретный модуль был найден благодаря строкам кода с перечислением различных производителей жестких дисков.

«Нам потребовались месяцы, чтобы проанализировать и выяснить, что это значит, — сказал Камлюк. — Нам пришлось изучить различные команды ATA и как писать код для аппаратуры различных производителей. Мы выучили различные проприетарные алгоритмы и протоколы связи. Вот почему потребовалось столько времени, чтобы понять, что делает этот модуль».

Категории: Вредоносные программы, Главное