дослідження активності кібершпіонской угруповання Equation , Опубліковане командою GReAT «Лабораторії Касперського», описує кілька чудес техніки. Ця давно діюча і дуже потужна група створила серію вкрай складних шкідливих «імплантів», але найбільш цікава знахідка експертів - це вміння зловреда перепрограмувати жорсткі диски жертв шпигунства, завдяки чому «імпланти» стають невидимі і практично невразливі.

Це одна з давніх страшилок комп'ютерної безпеки . Невиліковний вірус, який назавжди залишається в комп'ютерному обладнанні, вважався міською легендою останні три десятиліття, але, схоже, дехто витратив мільйони доларів, щоб зробити казку бувальщиною. Деякі газети і сайти трактують цю історію в досить панічному тоні, заявляючи, що хакери можуть " отримувати таким чином доступ до інформації на більшості комп'ютерів в світі «. Але нам би хотілося знизити накал драматизму, оскільки ця можливість, швидше за все, залишиться такою ж рідкісною, як панди, самостійно переходять дорогу на найближчому до вас перехресті.

Давайте перш за все розберемося, що таке «перепрограмування прошивки вінчестера». Жорсткий диск складається з кількох компонентів, найважливішими з яких є власне носій інформації (магнітні диски для класичних вінчестерів HDD або чіпи флеш-пам'яті для SSD) і мікрочіп, який керує читанням і записом на диск, а також численними сервісними процедурами, наприклад виявленням і виправленням помилок.

Оскільки таких службових процедур багато і вони складні, чіп працює по досить великій програмі і, технічно кажучи, сам по собі є маленьким комп'ютером. Програма цього чіпа і називається прошивкою, і виробники жорстких дисків іноді хочуть оновлювати її, щоб виправити знайдені помилки або поліпшити швидкість роботи диска.

Якраз цей механізм і навчилася експлуатувати угруповання Equation, завантажуючи свою власну прошивку в жорсткі диски 12 різних «категорій» (виробників / моделей). Функції модифікованої прошивки залишаються загадкою, але шкідливе ПО на комп'ютері завдяки їй отримує можливість читати і писати дані в спеціальний підрозділ жорсткого диска. Ми припускаємо, що цей підрозділ стає повністю прихованим як від операційної системи, так і від спеціальних аналітичних програм, що працюють з диском на низькому рівні. Дані в цій області можуть пережити форматування диска!

Більш того, теоретично прошивка здатна повторно заражати завантажувальний область жорсткого диска, роблячи навіть свіжовстановленому операційну систему інфікованої. Питання додатково ускладнюється тим, що за перевірку стану прошивки і оновлення прошивки відповідає ... сама прошивка, тому ніякі програми на комп'ютері не можуть надійно перевірити цілісність коду прошивки або оновити його з надійним результатом. Іншими словами, одного разу заражена прошивка практично недетектіруема і незнищенна. Дешевше і простіше викинути підозрілий жорсткий диск і купити новий.

https://twitter.com/emash_ru/status/567636380223029249

Втім, не біжіть за викруткою - ми не очікуємо, що ця гранично потужна можливість інфікування стане масовою. Навіть сама угруповання Equation використовувала цю функцію лише кілька разів, модуль інфікування дисків дуже рідко зустрічається на комп'ютерах жертв Equation.

Перепрограмувати жорсткий диск набагато складніше, ніж написати, скажімо, програму для Windows. Кожна модель вінчестера унікальна, і розробити для неї альтернативну прошивку - довго і дорого. Хакер повинен отримати внутрішню документацію виробника (вже дуже складно), купити кілька вінчестерів точно такою ж моделлю, розробити і протестувати потрібну функціональність, а також запхати її в невелике вільне місце прошивки, зберігши при цьому всі вихідні функції.

Це дуже Високорівнева і професійна робота, яка вимагає місяців розробки і багатомільйонних інвестицій. Тому даний тип технологій безглуздо використовувати в кримінальних шкідливі програми і навіть більшості цільових атак. Крім того, розробка прошивок - це «бутиковий» підхід до зломів, який важко розгорнути в широкому масштабі. Виробники дисків випускають нові вінчестери і їх прошивки мало не кожен місяць, і зламувати кожну з них - важко і безглуздо навіть групі Equation, не кажучи вже про всі інші.

Практичний висновок з історії простий. Шкідливі програми, що заражають вінчестери, більше не є легендою, але середньостатистичному користувачеві нічого не загрожує. Чи не трощіть вінчестер молотком, якщо тільки ви не працюєте над іранською ядерною програмою. Більше уваги варто приділяти не настільки вражаючим, але набагато більш ймовірним ризикам на кшталт злому через поганого пароля або застарілого антивіруса .