In questi giorni la Kaspersky ha scoperto un enorme deposito di malware utilizzato per infettare migliaia di computer in oltre 30 Paesi differenti ed avrebbe anche individuato i responsabili degli attacchi contro vittime di alto profilo che lavorano in svariati settori: The Equation Group. In pratica si tratta di un gruppo di cybercriminali, probabilmente finanziato dai governi, che sfrutta diverse tecniche per installare spyware nei sistemi target, alcuni dei quali nascosti addirittura nei firmware degli hard disk. Tra l'altro, come noto, a fine Dicembre 2013 il settimanale tedesco Der Spiegel aveva fatto sapere dell'esistenza di un catalogo di strumenti hardware e software che permettono alla National Security Agency, (agenzia governativa di sicurezza nazionale statunitense meglio nota con la sigla NSA), di intercettare le comunicazioni degli utenti: uno dei metodi prevedeva l'installazione di malware e backdoor proprio nei firmware degli hard disk. Perciò, secondo le fonti contattate dalla Reuters, (tra cui un ex-dipendente), dietro The Equation Group si celerebbe proprio la suddetta agenzia statunitense. Oltretutto, sebbene la Kaspersky non ha indicato esplicitamente chi sia dietro a quella che appare come una profonda campagna di spionaggio su larga scala, l'analisi dei target ed una serie di elementi tecnici evidenziati dagli stessi ricercatori, (come, ad esempio, la parentela di questo malware con Stuxnet, il noto virus che ha mandato in tilt il programma nucleare iraniano ed ormai attribuito a Stati Uniti ed Israele), puntano il dito, appunto, proprio verso la NSA. Ad ogni modo, sempre secondo la stessa Kaspersky, il gruppo in questione opera da almeno 13 anni, durante i quali ha sviluppato malware e tecniche di una complessità mai vista finora. Difatti tra i tool che compongono l'arsenale di spyware, il più potente è proprio quello che permette di riprogrammare il firmware degli hard disk prodotti da Western Digital, Seagate, Samsung, Toshiba ed Hitachi. Come se non bastasse il codice infetto non può essere rilevato e cancellato in nessun modo, nemmeno con la formattazione del disco: il malware, caricato in un'area nascosta, permette non solo di rubare informazioni riservate, ma anche di eludere la crittografia usata per proteggere il contenuto del hard disk. Comunque sia i dati raccolti dagli spyware vengono poi inviati ad oltre 100 server ospitati in vari Paesi, (Italia compresa). Quindi, considerata la complessità degli attacchi, è probabile che questi cybercriminali siano venuti in possesso del codice sorgente dei firmware. Per di più, considerato che alcuni produttori, (tra cui la stessa Western Digital), hanno negato di aver consegnato il codice alla NSA o ad altre agenzie, è molto probabile che per infettare gli hard disk The Equation Group abbia inviato comandi remoti via Internet oppure utilizzato supporti fisici, (in particolare chiavette USB e CD). In questo caso è necessaria una tecnica nota come "interdiction", la quale consiste nell'intercettare, (naturalmente conoscendo il destinatario), ed infettare i dispositivi fisici prima che arrivino ai destinatari o, infine, sostituirli con unità appositamente infettate.
Commenti
Posta un commento