A equipe do Avance Lab acaba de publicar uma pesquisa sobre a atividade do grupo de espionagem cibernética Equation , e ela revelou algumas maravilhas técnicas. Este antigo e poderoso grupo de hackers produziu uma série muito complexa de “implantes” maliciosos, mas a descoberta mais interessante é a capacidade do malware de reprogramar os discos rígidos da vítima, tornando seus “implantes” invisíveis e quase indestrutíveis.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Esta é uma das histórias assustadoras há muito esperadas em segurança de computador - um vírus incurável que persiste no hardware do computador para sempre foi considerado uma lenda urbana por décadas, mas parece que as pessoas gastam milhões de dólares para fazer isso acontecer. Algumas reportagens da imprensa sobre a história de Equation vão mais longe ao dizer que isso permite que os hackers “ espionem a maioria dos computadores do mundo ”. No entanto, queremos diminuir o nível de drama. Essa habilidade permanecerá tão rara quanto os pandas andando pela rua.
Vamos começar explicando o que significa “reprogramação de firmware do disco rígido”. Um disco rígido consiste em dois componentes importantes - um meio de memória (discos magnéticos para HDDs clássicos ou chips de memória flash para SSD) e um microchip, que realmente controla a leitura e gravação no disco, bem como muitos procedimentos de serviço, por exemplo, detecção de erros e correção. Esses procedimentos de serviço são numerosos e complexos; portanto, um chip executa seu próprio programa sofisticado e, tecnicamente falando, é um pequeno computador por si só. O programa do chip é chamado de firmware e um fornecedor de disco rígido pode querer atualizá-lo, corrigindo os erros descobertos ou melhorando o desempenho.
Esse mecanismo foi abusado pelo grupo Equation, que conseguiu baixar seu próprio firmware para o disco rígido de 12 “categorias” diferentes (fornecedores / variações). As funções desse firmware modificado permanecem desconhecidas, mas o malware no computador obtém a capacidade de gravar e ler dados de / para a área dedicada do disco rígido. Presumimos que essa área fica completamente oculta de um sistema operacional e até de um software forense especial. Os dados nesta área podem sobreviver à reformatação do disco rígido, além do firmware ser teoricamente capaz de reinfectar a área de inicialização do disco rígido, infectando um sistema operacional recém-instalado desde o início. Para complicar ainda mais, as verificações e reprogramação de firmware dependem do próprio firmware, portanto, não é possível verificar a integridade do firmware ou recarregar o firmware de forma confiável em um computador. Em outras palavras, uma vez infectado, o firmware do disco rígido é indetectável e quase indestrutível. É mais fácil e barato abandonar um disco suspeito e comprar um novo.
No entanto, não se apresse para encontrar sua chave de fenda - não esperamos que essa capacidade de infecção final se torne popular. Até o próprio grupo Equation provavelmente o usou apenas algumas vezes, já que o módulo infectante do HDD é extremamente raro nos sistemas das vítimas. Para começar, a reprogramação do disco rígido é muito mais complexa do que escrever, digamos, software Windows. Cada modelo de disco rígido é único e é muito caro e trabalhoso desenvolver um firmware alternativo. Um hacker deve obter a documentação interna do fornecedor do disco rígido (o que é quase impossível), comprar algumas unidades do mesmo modelo, desenvolver e testar a funcionalidade necessária e inserir rotinas maliciosas no firmware existente, tudo isso mantendo suas funções originais. Esta é uma engenharia de alto nível que requer meses de desenvolvimento e milhões em investimentos. É por isso que não é viável usar esse tipo de tecnologia furtiva em malware criminoso ou mesmo na maioria dos ataques direcionados. Além disso, o desenvolvimento de firmware é obviamente uma abordagem de boutique que não pode ser facilmente dimensionada. Muitos fabricantes lançam firmware para várias unidades a cada mês, novos modelos são lançados constantemente e hackear cada um é algo além da possibilidade (e necessidade) para o grupo Equation - e qualquer outra pessoa.
Portanto, o resultado prático da história é - o malware que infecta HDD não é mais uma lenda, mas o indivíduo médio não corre risco. Não bata seus drives com um martelo, a menos que você trabalhe na indústria nuclear iraniana. Preste mais atenção aos riscos menos excitantes, mas mais prováveis, como ser hackeado por causa de senhas incorretas ou um antivírus desatualizado.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
