Kaspersky Lab sugeruje: NSA stworzyła robaka Stuxnet i infekuje dyski od 2001 roku

Robert Kędzierski
17.02.2015 11:06
A A A

"Zabawki NSA" - poszczególne moduły używane przez Agencję (Fot. Kaspersky Lab)

Dzień po ujawnieniu największego w historii ataku na banki Kaspersky Lab informuje o kolejnym wykrytym skandalu. Rosyjska firma sugeruje, że robaki Stuxnet i Flame stworzyła amerykańska agencja NSA. Ma też ona infekować nasze dyski od 2001 roku. Formatowanie? Nie pomoże.

Kaspersky Lab twierdzi (choć nie wprost), że rozwikłała jedną z największych zagadek związanych z wirusami. Firma sugeruje w ujawnionym właśnie raporcie, że robaki Stuxnet i Flame, które przeszkodziły Iranowi w pracach nad bronią jądrową, zostały stworzone przez NSA. Wykorzystując te same techniki od 2001 roku agencja ma infekować dyski wybranych osób w taki sposób, by nie były one w stanie "uciec" przed inwigilacją. Zmiana systemu czy formatowanie dysku nie pozbawia NSA możliwości kontroli nad komputerem.

Miałoby to być możliwe poprzez modyfikację sterowników najpopularniejszych dysków twardych (produkowanych przez WD, Seagate, Samsunga czy Toshibę). Zmiana pozwala na utworzenie dodatkowej, ukrytej partycji, która pozostaje poza "zasięgiem" zwykłego użytkownika. Infekcja przebiega w dwóch etapach: najpierw komputer jest inwigilowany przez specjalny kod, później modyfikowany jest sterownik dysku.

Taki sposób infekcji pozwala na ponowne przejęcie kontroli nad komputerem nawet jeśli jego użytkownik zmieni system czy sformatuje dysk. Oprogramowanie antywirusowe jest wobec tego ataku całkowicie bezsilne.

Equation Group to NSA?

Nigdy nie udało się zdobyć bezsprzecznych dowodów na to, że za stworzenie wirusa Stuxnet odpowiada NSA. Amerykańska Agencja Bezpieczeństwa Narodowego (National Security Agency) ma charakter wywiadowczy. Jednym z jej głównych zadań jest przechwytywanie całej łączności obcych państw (chodzi nie tylko o ruch w internecie). Agencja odpowiada też za tworzenie i łamanie kodów, a jej działanie ma kluczowe znaczenie dla bezpieczeństwa USA.

Za autorów kodu uznaje się grupę działającą pod nazwą Equation Group. Kaspersky Lab sugeruje jednak, że Equation to tak naprawdę NSA.

Ślady ataku robaka Stuxnet i robaków pokrewnych

Fot. Kaspersky Lab

 

Skąd te dość szokujące wnioski? Przez lata robaki podobne do Stuxneta atakowały różne instytucje na całym świecie, a te broniąc się zlecały śledztwa firmom związanym z bezpieczeństwem. Kaspersky Lab zbadał 500 takich maszyn w 30 krajach. Analiza śladów ataków pozwala powiązać NSA z Equation Group. Wyjaśnia to Niebezpiecznik.pl

Jednym z dowodów na to, że Equation Group to NSA jest odnalezienie w jednym z komponentów rządowego keyloggera słowa GROK, które pokrywa się z katalogiem "zabawek NSA”, który opisywaliśmy w 2013 roku. Z kolei inne z produktów opisanych w katalogu, choć ich nazwy nie występują bezpośrednio w analizowanym kodzie, to wprost odpowiadają jego funkcjom. Dodatkowo, Kasperksy z kodu wyłuskał nowe nazwy kodowe, które do tej pory nie zostały nigdzie opisane: SKYHOOKCHOW, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER.

Oskarżenia Kaspersky'ego potwierdzają dziennikarze agencji Reutera

Według Reutersa, doniesienia Kasperskiego są wiarygodne - rewelacje z raportu dla agencji prasowej skomentowali i potwierdzili pracownicy NSA, wskazując, że w istocie chodzi o "ich zabawki”. Komentarza udzielili jednak nieoficjalnie, bo oficjalnie rzecznik NSA milczy. - konkluduje Niebezpiecznik

Całkowita kontrola

W raporcie firmy Kasperky znajdziemy też informacje o tym, że Equation (NSA) może przejąć całkowitą kontrolę nad komputerem ofiary:

Komputer ofiary jest infekowany przez platformę Equationdrug. Pozawala ona na przejęcie całkowitej kontroli nad systemem. A kiedy podstawowe funkcje malware'u nie są wystarczające Equationdrug pozwala instalować dodatkowe moduły. Wykryliśmy ich więcej niż trzydzieści".

Analiza potwierdza, że autorzy Eqationdrug stworzyli różne wersje swojego oprogramowania dla poszczególnych systemów operacyjnych. Zainfekowani mogą być nie tylko użytkownicy przestarzałego XP ale i nowszych wersji Windows. Do kontroli "siódemki" wykorzystywana jest wersja platformy o nazwie GRAYFISH.

Jak NSA infekuje komputery

Fot. Kaspersky Lab

 

"GrayFish zawiera niezwykle wyrafinowany bootkit, który jest najbardziej skomplikowanym jaki widzieliśmy. Stoją za nim najwyższej klasy programiści. [...] GreyFish jest nawet w stanie samodzielnie uruchamiać wybrany komputer i wprowadzać na nim zmiany"

GreyFish może zostać użyty nawet wobec maszyn odłączonych od internetu - infekcję można przeprowadzić przez napęd USB. Służy do tego osobny robak o nazwie Fanny. Tworzy on ukrytą partycję na dysku USB, zawiera też moduł, który uruchamia się, kiedy pendrive zostanie podpięty do komputera z internetem.

Amerykanie przejmują przesyłki z płytami

Niebezpiecznik podaje też, że Amerykanie dysponują specjalną jednostką, która jest w stanie przechwytywać przesyłki i infekować zawarte w nich płyty.

Kaspersky w raporcie opisuje ciekawą historię infekcji jednego z naukowców, który wybrał się na konferencję do Houston w 2009. Po konferencji na adres domowy naukowca wysłano CD z materiałami. Płyta zawierała zdjęcia z konferencji i 3 exploity [...] Nie jest jasne, jak NSA zainfekowała płytę wysyłaną naukowcowi, ale z wycieków Snowdena wiemy, że agenci posiadają specjalną jednostkę, która zajmuje się przechwytywaniem paczek, rozpakowywaniem ich i infekowaniem poszczególnych komponentów.

Equation znika?

Costin Raiu z Kasperky Lab w rozmowie z dziennikarzami portalu Threatpost przyznał, że ślady prowadzące do Equation Group skończyły się w nieoczekiwany sposób.

"Najbardziej wstrząsające jest, że nie mamy żadnych śladów działalności Equation Group z roku 2014. Ci ludzie zniknęli z radarów w roku 2013. Nie mamy pojęcia co robili w 2014. To bardzo, bardzo przerażające".

Co to znaczy dla przeciętnego użytkownika?

NSA oczywiście nie potwierdza, ze stoi za Equation Group, choć przyznaje się do tego pośrednio dziennikarzom Reutera. Czy przeciętny użytkownik ma się czego obawiać? Jeśli nie robimy czegoś niezgodnego z prawem pewnie nie mamy powodów do obaw. Świadomość, że NSA jest w stanie całkowicie kontrolować nasze komputery na pewno wielu osobom będzie przeszkadzać. Ja bardziej obawiałbym się jednak narzędzi, którymi dysponują cyberprzestępcy, którzy są w stanie ukraść nam pieniądze.

Która z afer ujawnionych przez Kaspersky Lab jest dla nas groźniejsza? Działania NSA, czy operacja Carbank, o której pisaliśmy wczoraj. Prosimy o komentarze.

Komentarze (85)
Zaloguj się
  • Oceniono 282 razy 232

    Znacznie groźniejsze jest, kiedy przestępczą działalność prowadzi PAŃSTWO. Zwykłych przestępców można ścigać, ale wobec państwowego aparatu przymusu człowiek jest bezsilny.

  • Oceniono 120 razy 108

    Jam myślę, że podstawowym błędem ludzi jest powierzanie komputerom coraz szerszej sfery naszego życia osobistego. Gdy już oddamy się im całkowicie, to z dnia na dzień agenci lub przestępcy będą mogli zrobić z nami wszystko: wyczyścić konta, skompromitować pod naszym nazwiskiem, wkręcić w przestępstwo, zaciągnąć kredyty, zniszczyć nasz dom np poprzez wywołanie pożaru, odebrać naszą tożsamość, a już niebawem wyłączyć rozrusznik czy inne urządzenia monitorujące nasze zdrowie. W skróci mogą przemienić nasze życie w piekło. To dosyć przerażające wizje.

  • blondyn-3

    Oceniono 89 razy 85

    po przeczytaniu tego juz nawet nie dowierzam wlasnemu dlugopisowi

  • stalowygrubas

    Oceniono 86 razy 72

    Rzad nie może inwigilować obywateli z prostego powodu. Jeśli będzie to robić, to powoli bedzie odbierac obywatelom wolnosc pod pretekstem walki z terroryzmem i ochrona dzieci (dwa niezawodne argumenty). A potem tych, ktorym sie to nie spodoba, oglosi terrorystami i zdusi rewolucje w zarodku. I tak sie juz dzieje w USA. To nie jest juz demokracja a panstwo policyjne, podobnie jak Polska, gdzie politykom i urzędnikom wydaje sie, ze obywatel nie ma nic do powiedzenia a dorabiają się bezkarnie kradnąc tylko ci co sa w kręgach władzy, zupełnie jak za komuny. I tak jak za komuny musimy cos z tym zrobic. I bynajmniej nie jest to ucieczka z kraju. A przynajmniej, nie nasza.

  • to_ja_tu_bylem

    Oceniono 74 razy 64

    Nieźle. Samego Windowsa jest łatwo zainfekować, kiedyś z nudów napisałem prosty program przejmujący kontrole. Program pozwalał na kontrolę myszki, klawiatury i odpalanie dowolnie przesłanego pliku. Dodatkowo aktywnie bronił się przed próbami usunięcia (tworzenie kopii, grzebanie w rejestrze, aby odpalał się z innymi programami itp). Zabawa ze sterownikami to już wyższa szkoła jazdy, ale daje dużo większe możliwości. Prawda jest taka, że z rządem nie mamy większych szans. Oni nawet nie muszą infekować komputerów, mogą zmusić firmy, aby w firmowym sofcie umieścili dla nich drzwi.

  • pamejudd

    Oceniono 123 razy 55

    Wygląda na to, że Kaspersky Lab dostał prikaz na "ujawnienie" tej informacji :)

  • Oceniono 55 razy 51

    a wczoraj obamy powiedział że internet jest własnością amerykańską i jakiekolwiek próby poddania go prawu europejskiemu zostaną uznane za akt wrogi wobec państwa usan, a wtedy ho, ho...

Aby ocenić zaloguj się lub zarejestrujX