"Лаборатория Касперского" раскрыла схему внедрения шпионского ПО в жесткие диски
Заражались избранные компьютеры с HD Western Digital, Seagate, Toshiba"Лаборатория Касперского" объявила о раскрытии изощренной схемы кибершпионажа, при которой шпионское программное обеспечение пряталось в жесткие диски, выпускаемые Western Digital, Seagate, Toshiba и другими ведущими производителями, всего было названо около дюжины. Как сообщает Reuters, в исследовании российской компании упоминается Агентство национальной безопасности США (АНБ). Представители Western Digita, Seagate Technology и Micron Technology заявили Reuters, что им ничего не известно об использовании шпионского ПО с их продукцией. Toshiba и Samsung от комментариев отказались. IBM не ответила на запрос Reuters. Financial Times подчеркивает, что в специалисты компании АНБ ни разу не упомянули.
Зараженные одной или несколькими шпионскими программами машины "Лаборатория Касперского" нашла в 30 странах. Больше всего случаев заражения было отмечено в Иране, затем - в России, Пакистане, Афганистане, Китае, Мали, Сирии, Йемене и Алжире. Целями кибершпионажа становились правительственные и военные структуры, телекоммуникационные и энергетические компании, банки, исследователи, специализирующиеся в ядерной физике, СМИ и исламские активисты. Что за государство может стоять за этой схемой кибершпионажа, в компании говорить не стали. Представители "Лаборатории Касперского" сказали только, что выявленное программное обеспечение близко к компьютерному червю Stuxnet, который в 2010 г. заразил компьютеры на первой АЭС Ирана в Бушере. В докладе говорится, что ПО разработано группой, которую они назвали "The Equation Group" и которая, по их информации, работает два десятка лет. У этой группы "тесные связи" с создателями Stuxnet, говорится также в докладе. FT упоминает, что считается, что Stuxnet разработали в США и Израиле.
Бывший сотрудник АНБ сказал Reuters, что выводы "Лаборатории Касперского" правильны и что те, кто до сих пор работает в АНБ, высоко ценят и эти шпионские программы, и Stuxnet. Еще один бывший сотрудник разведслужбы подтвердил, что в АНБ придумали способ скрывать шпионское ПО в жестких дисках, но он не знает, где именно оно могло применяться.
Представитель АНБ Вейни Вайнз сказала, что ведомство проинформировано о выводах исследования "Лаборатории Касперского", но комментировать их публично не будет.
Доклад компании может нанести урон возможностям АНБ, уже понесшем серьезный ущерб после ряда утечек информации о своей работе, которые стали результатом кражи информации и ее публикации Эдвардом Сноуденом. Бывший сотрудник ЦРУ, который затем работал с АНБ по контракту, сбежал из США и сейчас находится в России.
Доклад "Лаборатории Касперского" показывает, что любой стране важно сначала оценить возможный ущерб шпионажа для дипломатических и торговых отношений с другими странами, прежде чем использовать для сбора данных наработки своих компьютерных специалистов. Об этом Reuters заявил один из пяти членов группы по разведке и технологиям связи при президенте Обаме Питер Суайр.
Исследователь компании Костин Райю рассказал, что шпионская программа внедрялась в один из кодов жесткого диска и запускалась при каждом включении компьютера, так что могла заражать машину неоднократно. Reuters напоминает, что, хотя АНБ могло осуществлять массовый перехват данных или прослушку, что следовало из разоблачений Сноудена, это конкретное ПО устанавливалось только на отдельных машинах, представлявших особый интерес интересанту кампании. Как распространители шпионского ПО получили доступ к кодам жестких дисков, неясно. Представитель Western Digital Стив Шэттак заверил, что компания такого доступа американским правительственным структурам не предоставляла.
"«Лаборатория Касперского» впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных производителей", - говорится в пресс-релизе компании. Там объясняют, что внедренное в операционную систему жесткого диска шпионское ПО остается там навсегда: "его невозможно ни обнаружить, ни избавиться от него", даже путем форматированного диска. "Во-вторых, у атакующих есть возможность создать себе «тихую гавань» в виде секретного хранилища, где может безопасно собираться вся необходимая информация", - говорится в пресс-релизе. Equation Group также использует червя Fanny, который позволяет получать данные с компьютера, даже если он отключен от глобальной сети.
Ровно год назад "Лаборатория Касперского" сообщила о раскрытии сети кибершпионажа, которая атаковала госструктуры, посольства, энергетические и нефтегазовые компании в 31 стране. Тогда больше всего пострадавших оказалось в Марокко, Бразилии и Великобритании. Ответственность за эти действия может лежать на крупной частной или правительственной организации, считали в "Лаборатории", трудозатраты на проведение атак там оценили в миллионы долларов.
Шпионскую киберсеть сопоставимых масштабов, следившую за дипломатическими, правительственными и научными организациями в разных странах, «Лаборатория Касперского» раскрыла и в 2013 г. Целью злоумышленников (в тот раз китайских) тогда были в основном страны СНГ и Восточной Европы, в том числе Россия.