NSA: Πώς παρακολουθεί σχεδόν κάθε υπολογιστή παγκοσμίως

Η μία αποκάλυψη διαδέχεται την άλλη από τη στιγμή που ο Edward Snowden έκανε την αρχή φέρνοντας στη δημοσιότητα τις κατασκοπευτικές δραστηριότητες της Eθνικής Υπηρεσίας Πληροφοριών των Η.Π.Α. Αυτό που έγινε γνωστό ωστόσο τα τελευταία 24ωρα πρόκειται για μια εξαιρετικά σοβαρή εξέλιξη, καθώς όλα συνηγορούν ότι η NSA είχε την αρωγή των πιο γνωστών κατασκευαστών σκληρών δίσκων ώστε να παρακολουθεί ανυποψίαστους πολίτες.
Οι αποκαλύψεις που έφερε στην δημοσιότητα η ρωσική εταιρεία θεμάτων ψηφιακής ασφάλειας Kaspesky πραγματικά αποτελούν αιτία... ταραγμένου ύπνου. Σύμφωνα με αυτές, η NSA έκρυβε κατασκοπευτικό λογισμικό σε μια εξαιρετικά δύσκολη να προσπελαστεί περιοχή των σκληρών δίσκων των πιο γνωστών κατασκευαστών, όπως οι Western Digital, Seagate, Toshiba, Samsung κ.ά.
Με αυτό τον τρόπο μπορούσε να παρακολουθεί σχεδόν οποιονδήποτε υπολογιστή παγκοσμίως. Η Kaspersky ανακάλυψε υπολογιστές σε 30 χώρες που είχαν μολυνθεί με ένα η περισσότερα από τα κατασκοπευτικά λογισμικά, με τις περισσότερες μολύνσεις να εντοπίζονται στο Ιράν στη Ρωσία, το Πακιστάν το Αφγανιστάν, την Κίνα, το Μάλι , τη Συρία , την Υεμένη και την Αλγερία.
Στόχοι της παρακολούθησης αποτελούσαν κυβερνητικοί και στρατιωτικοί οργανισμοί, εταιρείες τηλεπικοινωνιών, τράπεζες, ενεργειακές εταιρείες, ερευνητικά κέντρα πυρηνικής ενέργειας, ΜΜΕ, και Ισλαμιστικές οργανώσεις.
Αν και η ερευνητική εταιρεία δεν αναφέρει ρητά ποιος κρύβεται πίσω από αυτή την παγκόσμια επιχείρηση παρακολούθησης, τα ευρήματα έδειξαν Stuxnet, ένα κυβερνοόπλο της NSΑ που έχει χρησιμοποιηθεί για επιθέσεις στο Iran.
Πρώην υπάλληλοι της NSA επιβεβαίωσαν την ανάλυση της Kaspersky με την τελευταία να δημοσιεύει τις αναλυτικές τεχνικές λεπτομέρειες της έρευνας όπου αναφέρει ότι κάποια από τα κατασκοπευτικά προγράμματα χρονολογούνται από το 2001, 15 χρόνια πριν δηλαδή!
Oι εγκαταστάσεις της Kaspersky Labs, στην Μόσχα. Εδώ ξετυλίχθηκε η άκρη του νήματος.
Oι εγκαταστάσεις της Kaspersky Labs, στην Μόσχα. Εδώ ξετυλίχθηκε η άκρη του νήματος.
Ο Peter Swire, μέλος της πενταμελούς Επιτροπής για θέματα αξιολογησης τεχνολογίας που αξιοποιείται από τις μυστικές υπηρεσίες των Η.Π.Α πήρε σαφή θέση ασκώντας αρνητική κριτική στην Ν.S.A δηλώνοντας ότι οι Η.Π.Α θα πρέπει να εκτιμούν αποτελεσματικότερα τις συνέπειες που μπορεί να έχουν παρόμοιες ενέργειες στο μέτωπο της διπλωματίας.
Όπως εξηγεί η Kaspersky, η NSA χρησιμοποίησε μια ιδιαίτερα εξεζητημένη και τεχνικά προηγμένη μέθοδο ''εμφύτευσης'' κακόβουλου λογισμικού σε ένα σχεδόν απροσπέλαστο μέρος του κώδικα στο made firmware των σκληρών δίσκων των υπολογιστών.
Όπως αναφέρει η ενημέρωση της Kaspersky, ''Ένας ιδιαίτερος κίνδυνος είναι ότι μόλις ο σκληρός δίσκος ''μολύνθηκε'' με αυτό το κακόβουλο φορτίο, είναι αδύνατο να σκαναριστεί το firmware του. Για να το θέσω απλά: στους περισσότερους σκληρούς δίσκους υπάρχουν λειτουργίες για εγγραφή στην περιοχή του firmware, αλλά δεν υπάρχουν λειτουργίες για να διαβαστεί ξανά.
Αυτό σημαίνει ότι είμαστε σχεδόν ''τυφλοί'' και δεν έχουμε τη δυνατότητα να εντοπίσουμε τους σκληρούς δίσκους που έχουν μολυνθεί από αυτό το κακόβουλο λογισμικό'' . Tάδε έφη, Costin Raiu, Επικεφαλής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.
''Το hardware είναι σε θέση να μολύνει τον υπολογιστή ξανά και ξανά'', συμπληρώνει. Αν και η NSA είχε τη δυνατότητα να πάρει τον έλεγχο χιλιάδων υπολογιστών, οι υπηρεσίες ήταν πολύ επιλεκτικές ως προς τους πιο επιθυμητούς, υψηλού διαμετρήματος στόχους.
Το θέμα όμως κάθε άλλο εξαντλείται εδώ. Βλέπετε , το πολύ ενδιαφέρον στοιχείο της υπόθεσης είναι ότι για να μπορεί να εισχωρεί με τόσο εξεζητημένο τρόπο στο λογισμικό των σκληρών δίσκων η NSA θα μπορούσε να το επιτύχει μόνο με την συνεργασία των κατασκευαστών των σκληρών δίσκων οι οποίοι εν γνώσει τους ή έστω και ακούσια θα έπρεπε να την προμηθεύσουν με τις απαραίτητες τεχνικές πληροφορίες.
Η πρόσβαση στα κενά ασφαλαείας του firmware ήταν εφικτή μόνο με την συνεργασία των κατασκευαστών
Η πρόσβαση στα κενά ασφαλαείας του firmware ήταν εφικτή μόνο με την συνεργασία των κατασκευαστών
Αυτό φυσικά δεν σημαίνει ότι κάτι τέτοιο δε θα μπορούσε να επιτευχθεί και εν αγνοία των εταιρειών καθώς η NSA θα μπορούσε να λειτουργήσει ως πελάτης του Πενταγώνου και να ζητήσει να λάβει αναλυτική γνώση όλων των κενών ασφαλείας και των ευπαθειών που παρουσιάζει το firmware των δίσκων, δηλώνει πρώην στέλεχος της υπηρεσία. ''Αυτό δεν το παραδέχονται'', συνεχίζει, αναφερόμενος στις κατασκευάστριες εταιρείες.
Μπορείτε να διαβάσετε περισσότερα στο Δ.Τ με τα αναλυτικά ευρήματα της Kaspersky, απόσπασμα του οποίου σας παραθέτουμε:
''Εδώ και αρκετά χρόνια, η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab έχει παρακολουθήσει στενά περισσότερους από 60 προηγμένους φορείς απειλών, οι οποίοι είναι υπεύθυνοι για ψηφιακές επιθέσεις σε όλο τον κόσμο.
Οι ειδικοί της εταιρείας έχουν δει σχεδόν τα πάντα, με τις επιθέσεις να γίνονται ολοένα και πιο πολύπλοκες, καθώς ακόμη και κράτη ενεπλάκησαν σε αυτές τις δραστηριότητες και προσπάθησαν να εξοπλιστούν με τα πιο προηγμένα εργαλεία.
Ωστόσο, μόλις τώρα, οι ειδικοί της Kaspersky Lab μπόρεσαν να επιβεβαιώσουν ότι έχουν ανακαλύψει έναν φορέα απειλών, ο οποίος ξεπερνά οτιδήποτε γνωστό ως προς την πολυπλοκότητα και την εξειδίκευση των τεχνικών του. Μάλιστα, ο συγκεκριμένος φορέας είναι ενεργός εδώ και σχεδόν δύο δεκαετίες! Πρόκειται για την ομάδα Equation Group.
Σύμφωνα με τους ερευνητές της Kaspersky Lab, η ομάδα αυτή είναι μοναδική σχεδόν σε κάθε πτυχή των δραστηριοτήτων της. Χρησιμοποιεί ιδιαίτερα περίπλοκα και δαπανηρά στην ανάπτυξή τους εργαλεία, με σκοπό να μολύνει τα θύματα, να ανακτήσει δεδομένα και να κρύψει τη δραστηριότητα της με έναν εξαιρετικά επαγγελματικό τρόπο, αξιοποιώντας κλασικές τεχνικές κατασκοπείας, ώστε να μεταφέρει κακόβουλα φορτία στα θύματα.
Για να μολύνει τα θύματά της, η ομάδα αυτή χρησιμοποιεί ένα ισχυρό οπλοστάσιο με εμφυτεύματα (Trojans), συμπεριλαμβανομένων και των ακολούθων (βάσει ονομασιών που έχουν αποδοθεί από την Kaspersky Lab): Equation Laser, Equation Drug, Double Fantasy, Triple Fantasy, Fanny και Gray Fish. Χωρίς αμφιβολία, θα υπάρξουν και άλλα ενεργά εμφυτεύματα εκτός των προαναφερθέντων.

Τι καθιστά το Equation Group μοναδικό;

Απόλυτη επιμονή και απόκρυψη 
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab μπόρεσε να ανακτήσει δύο μονάδες, οι οποίες επιτρέπουν τον επαναπρογραμματισμό του firmware σκληρών δίσκων από περισσότερους από 12 δημοφιλείς κατασκευαστές. Αυτό είναι ίσως το πιο ισχυρό εργαλείο στο οπλοστάσιο του Equation Group και το πρώτο γνωστό κακόβουλο λογισμικό με την ικανότητα να «μολύνει» σκληρούς δίσκους.
"Ένας ιδιαίτερος κίνδυνος είναι ότι μόλις ο σκληρός δίσκος μολυνθεί με αυτό το κακόβουλο φορτίο, είναι αδύνατο να σκαναριστεί το firmware του. Για να το θέσω απλά: στους περισσότερους σκληρούς δίσκους υπάρχουν λειτουργίες για εγγραφή στην περιοχή του firmware, αλλά δεν υπάρχουν λειτουργίες για να διαβαστεί ξανά.
Αυτό σημαίνει ότι είμαστε σχεδόν τυφλοί και δεν έχουμε τη δυνατότητα να εντοπίσουμε τους σκληρούς δίσκους που έχουν μολυνθεί από αυτό το κακόβουλο λογισμικό", προειδοποιεί ο Costin Raiu, Director της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.
Το χρονοδιάγραμμα δράσης της NSA ξεκινά πριν από περίπου 15 χρόνια
Το χρονοδιάγραμμα δράσης της NSA ξεκινά πριν από περίπου 15 χρόνια
Δυνατότητα ανάκτησης δεδομένων από μεμονωμένα δίκτυα
Το worm "Fanny" ξεχωρίζει από όλες τις επιθέσεις που πραγματοποιήθηκαν από το Equation Group. Ο κύριος σκοπός του ήταν να χαρτογραφεί δίκτυα με "air gap". Με άλλα λόγια, να κατανοεί την τοπολογία δικτύων που δεν είναι προσιτά και να εκτελεί εντολές σε αυτά τα μεμονωμένα συστήματα.
Για το σκοπό αυτό, χρησιμοποιείται ένας μοναδικός μηχανισμός command and control, ο οποίος βασίζεται σε USB και επέτρεπε στους επιτιθέμενους να μεταφέρουν δεδομένα από και προς τα δίκτυα με "air gap".
Ειδικότερα, ένα μη μολυσμένο USB stick με κρυφό αποθηκευτικό χώρο χρησιμοποιήθηκε για τη συλλογή βασικών πληροφοριών του συστήματος από έναν υπολογιστή που δεν ήταν συνδεδεμένος στο Internet, καθώς και για την αποστολή τους στον C&C μηχανισμό όταν το USB αυτό συνδέθηκε σε υπολογιστή που έχει προσβληθεί από το worm Fanny και βρισκόταν συνδεδεμένος στο Διαδίκτυο.
Αν οι επιτιθέμενοι ήθελαν να εκτελέσουν εντολές σε δίκτυα με air gap, θα μπορούσαν να αποθηκεύσουν τις εντολές στον κρυφό αποθηκευτικό χώρο του USB. Μόλις το USB συνδεόταν στον υπολογιστή με "air gap", το "Fanny" αναγνώριζε τις εντολές και τις εκτελούσε.
Κλασικές μέθοδοι κατασκοπείας για τη μεταφορά κακόβουλου λογισμικού
Οι επιτιθέμενοι χρησιμοποίησαν γενικές μεθόδους για να μολύνουν τους στόχους τους, όχι μόνο μέσω του διαδικτύου αλλά και στο φυσικό κόσμο. Για το λόγο αυτό, χρησιμοποίησαν μια τεχνική αναχαίτισης,  υποκλέπτοντας στοιχεία και αντικαθιστώντας τα με τις αντίστοιχες Trojan εκδοχές τους.
Ένα τέτοιο παράδειγμα αφορούσε τη στοχοποίηση συμμετεχόντων σε επιστημονικό συνέδριο στο Χιούστον. Όταν επέστρεφαν στο σπίτι, μερικοί από τους συμμετέχοντες έλαβαν ένα αντίγραφο των υλικών του συνεδρίου σε CD-ROM, το οποίο στη συνέχεια χρησιμοποιήθηκε για την εγκατάσταση του Trojan "Double Fantasy" στη συσκευή του στόχου. Η ακριβής μέθοδος με την οποία έγιναν διαθέσιμα τα CD είναι άγνωστη.

 http://www.pathfinder.gr

Σχόλια

Δημοφιλείς αναρτήσεις