La compagnia russa di sicurezza informatica Kaspersky lo ha definito uno dei malware con la caratteristica più sofisticata mai vista: quella di infettare non soltanto i file archiviati su un hard drive, ma di colpire anche il firmware che controlla lo stesso hard drive.Questo significa che potrebbe sopravvivere a una completa pulizia dell'hard drive o alla reinstallazione di un sistema operativo, e "supera qualsiasi cosa abbiamo mai visto prima," scrivono in un report i ricercatori della compagnia russa.Non è il tipo di infezione che il vostro software sarebbe in grado di rilevare. Al Summit della compagnia in Messico, un esperto ha affermato che l'unico modo per contrastarlo è la distruzione fisica dell'hard drive infetto.
Pubblicità
Questo e altri dettagli sono stati rivelati qualche giorno fa accompagnati da prove che uno "stato" non nominato—che Reuters ha confermato essere la NSA—avrebbe sviluppato un arsenale di armi virtuali fin dal 2001. Kaspersky ha soprannominato i suoi creatori "Equation Group" e li descrive come "probabilmente uno dei più sofisticati gruppi di hacker del mondo."Gli esperti di Kaspersky hanno scoperto alcune piattaforme malware utilizzate dall'Equation Group, con nomi come EquationDrug, DoubleFantasy, GrasyFish e Fanny. Come altri malware scoperti in passato come Stuxnet e Flame, le piattaforme dell'Equation Group possono diffondersi in computer air-gapped, che non sono connessi a Internet, attraverso chiavetta USB; in altri casi i suoi operatori possono installare nuove funzionalità via remoto, utilizzando server di controllo istituiti intorno al mondo.Ma molte operazioni dell'Equation Group sono molto avanzate sia per quanto riguarda le tattiche che l'esecuzione.Il gruppo ha recuperato due moduli appartenenti a EquationDrug e GrayFish che erano stati usati per riprogrammare gli hard drive per dare agli hacker il controllo perpetuo sul computer di un obiettivo. Questi moduli possono colpire praticamente qualsiasi hard drive, inclusi quelli di Seagate, Western Digital, Samsung, Toshiba, Corsair, Hitachi e altri. Questi attacchi sono tradizionalmente difficili da sventare, visto il rischio insito della modificazione del software dell'hard drive, il che potrebbe spiegare perché Kaspersky abbia identificato soltanto alcuni tra gli contro cui era stato usato l'attacco.Ma le piattaforme dell'Equation Group hanno anche altre caratteristiche. GrayFish, per esempio, ha anche la capacità di installarsi nel boot record di un computer e archiviare tutti i suoi dati in una porzione del sistema operativo, la registry.EquationDrug è stato progettato per essere utilizzato su sistemi operativi Windows più vecchi e "alcuni dei plugin erano stati progettati originariamente per l'uso su Windows 95/98/ME"—versioni di Windows così vecchie che offrono una buona indicazione dell'età dell'Equation Group.E forse le prove più convincenti che dimostrano che l'Equation Group è l'NSA provengono da Fanny, un altro malware creato nel 2008. Fanny utilizzava due dei software nocivi utilizzati da Stuxnet, prima di Stuxnet. "L'utilizzo di entrambi i virus in diversi worm, più o meno nello stesso periodo, indica che l'Equation Group e gli sviluppatori di Stuxnet sono o le stesse persone o lavorano assieme," si legge sul report.Altre interessanti rivelazioni del report includono prove sul fatto che l'Equation Group avrebbe riutilizzato una vulnerability utilizzata in precedenza dalla Cina nell'attacco del 2009 contro Google. Il report fa riferimento anche all'esistenza di un malware progettato per colpire i Mac che funzionano con OS X—di cui non era stata confermata l'esistenza nei documenti diffusi dell'NSA e GCHQ—e di un attacco anonimo lanciato contro gli utenti del browser Firefox che accedevano a Tor.The only way to remove nls_933w.dll #TheSAS2015 #EquationAPT pic.twitter.com/zfVE1kKyha
— Fabio Assolini (@assolini) February 16, 2015