Kapersky desvela un spyware de la NSA en el firmware de los HDD (Pagina 1) / Seguridad y Hacking / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 17-02-2015 17:56:06

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Kapersky desvela un spyware de la NSA en el firmware de los HDD

Kapersky desvela un spyware de la NSA en el firmware de los HDD de las principales marcas del mercado

NSA.jpg

Centro de datos de la National Security Agency (NSA) visto en Bluffdale, 40 kms al sur de  Salt Lake City, Utah, 17 de diciembre de 2013.

 

  La noticia esta reportada por la mismísima agencia Reuteurs*... así que no es moco de pavo. wink
  La firma rusa de seguridad informática "Kapersky" (el antivirus instalado en windows por defecto, me parece, con un periodo de prueba de tres meses gratis) ha detectado y desvelado la existencia de un spyware potente diseñado por los servicios de inteligencia estadounidenses.
Se trata de un spyware que se incrusta en los discos duros de las marcas (entre otras) seagate, toshiba, samsung y Western Digital.
Hablamos por lo tanto de la inmensa mayoría de los discos duros en uso en el mundo potencialmente comprometidos.
  Estoy mirando en mis cajones... sobre más o menos veinte discos duros en casa tengo un "fijutsu" y un "maxtor"; todos los otros son de las marcas citadas  big_smile tongue

Kapersky ha detectado la presencia de maquinas infectadas en más de treinta países. El primer país afectado es Irán seguido por Rusia, Pakistán, Afganistán, China, Mali, Siria, Yemen y Argelia.
Los objetivos son agencias gubernamentales y administraciones así que los sectores estratégicos económicamente y/o militarmente (energía/nuclear, ejercito, telecomunicaciones, grupos armados/"focos islamitas")
  La empresa rusa no acusa directamente al gobierno de los Estados Unidos de orquestar esta campaña de espionaje pero afirma que el spyware es de la misma fuente que Stuxnet.
  Stuxnet es la "cyber arma" usada por la NSA en contra del programa de desarrollo nuclear en irán....   

  ...Y la NSA (como sabemos) es la agencia encargada de colectar información para los Estados Unidos. Que cada uno saque las conclusiones que crea pertinentes... tongue

La noticia ha sido confirmada por dos antiguos miembros de la NSA aunque oficialmente no se haya hecho ninguno comentario.
No se sabe cuales eran exactamente  los objetivos y los propósitos exactos de este plan de ataque.
  Lo que se sabe es que el plan fue lanzado por lo menos desde 2001.

  Lo más interesante (e inquietante) de esta noticia es que consiguieron infectar el mismísimo firmware de estos discos haciendo que el virus vuelva a infectar la maquinas cada vez que se enciende.   

Reuters escribió:

TECHNOLOGICAL BREAKTHROUGH

According to Kaspersky, the spies made a technological breakthrough by figuring out how to lodge malicious software in the obscure code called firmware that launches every time a computer is turned on.

Disk drive firmware is viewed by spies and cybersecurity experts as the second-most valuable real estate on a PC for a hacker, second only to the BIOS code invoked automatically as a computer boots up.

"The hardware will be able to infect the computer over and over," lead Kaspersky researcher Costin Raiu said in an interview.

  Otro aspecto a destacar es que para lograr crear este virus han tenido que obtener códigos fuentes críticos secretos utilizados por los industriales.

Reuters escribió:

GETTING THE SOURCE CODE

Raiu said the authors of the spying programs must have had access to the proprietary source code that directs the actions of the hard drives. That code can serve as a roadmap to vulnerabilities, allowing those who study it to launch attacks much more easily.

"There is zero chance that someone could rewrite the [hard drive] operating system using public information," Raiu said.

  Nunca sabremos claramente como se han obtenido estos códigos. Los industriales afirman que no los comunican, agentes de la NSA dicen que si....¿Colaboración voluntaria o involuntaria?¿ O espionaje ?... El caso es que estos códigos no deberían estar conocidos por unos intrusos. tongue
  Se hace también referencia al caso del ataque contra google en 2009 que fue atribuido rápidamente a los chinos

Reuters escribió:

Concerns about access to source code flared after a series of high-profile cyberattacks on Google Inc and other U.S. companies in 2009 that were blamed on China. Investigators have said they found evidence that the hackers gained access to source code from several big U.S. tech and defense companies.

 

*Fuentes : Russian researchers expose breakthrough U.S. spying program

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 17-02-2015 22:03:23

M1ck3y
Administrator

Registrado: 13-11-2014
Mensajes: 389

Re: Kapersky desvela un spyware de la NSA en el firmware de los HDD

pam


logo-wifi-libre.png

Desconectado

#3 18-02-2015 15:16:41

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Re: Kapersky desvela un spyware de la NSA en el firmware de los HDD

Si que duele.... big_smile
  Hoy "WIRED" (excelente media alternativo con un enfoque "hacking-seguridad-internet&mundo libre") comenta el descubrimiento de Kapersky (WIRED son excelentes pero [email protected] [email protected] los [email protected] roll big_smile )
  Aprendemos unos detalles nuevos.
  La diferencia es que los de "WIRED" no están obligados como kapersky a mantener una cierta reserva.
Hablan sin cortarse de un plan global de espionaje de origen estado unidense, relacionando directamente lo desvelado antes de ayer con Stuxnet y la NSA. 
  Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet

Algunos detalles saborosos ....

WIRED escribió:

For nearly a year, the researchers have been gradually collecting components that belong to several highly sophisticated digital spy platforms that they say have been in use and development since 2001, possibly even as early as 1996, based on when some command servers for the malware were registered

Los de kapersky han podido volver con certeza hasta 2001 pero es probable que los primeros ataques sean de por lo menos 1996.

El periodista de WIRED ha podido hablar hoy en Mexico con un miembro del equipo Kapersky y esto es lo que dice :

the wire escribió:

The researchers, who gave WIRED an advance look at their findings and spoke about them today at the Kaspersky Security Analyst Summit in Mexico, have dubbed the attackers the Equation Group and consider them “the most advanced threat actor” they’ve seen to date.

The researchers have published an initial paper on their findings and plan to publish more technical details over the next few days, but there’s still a lot they don’t know about the Equation Group’s activities.

As we uncover more of these cyber espionage operations we realize how little we understand about the true capabilities of these threat actors,” Costin Raiu, head of Kaspersky’s Global Research and Analysis Team told WIRED.

Se le ha dado el apodo de "the equation" al grupo que ha puesto de pie este sistema de espionaje (porque usan muchas ecuaciones tongue).
Se trata, ni más ni menos , de la más grande amenaza numérica jamás vista hasta el día de hoy. Y "deja sin palabras" a los especialistas de kapersky que admiten haber puesto el dedo sobre algo que les sobrepasa de momento.


WIRED Aportan otros elementos que apuntan a la NSA analizando lo desvelado por kaperky con los documentos secretos puestos a la luz gracias a Snowden :
  * El uso de una llave ya conocida por ser usada por la NSA 

WIRED escribió:

A keyword—GROK—found in a keylogger component appears in NSA documents leaked by Edward Snowden to The Intercept that describe a keylogger by that name

  * El spyware tiene características semejantes a las de las ciber-armas secretas de la NSA descritas en los documentos entregados al publico por snowden

WIRED escribió:

The capabilities of several tools in the catalog identified by the codenames UNITEDRAKE, STRAITBAZZARE, VALIDATOR and SLICKERVICAR appear to match the tools Kaspersky found. These codenames don’t appear in the components from the Equation Group, but Kaspersky did find “UR” in EquationDrug, suggesting a possible connection to UNITEDRAKE (United Rake). Kaspersky also found other codenames in the components that aren’t in the NSA catalog but share the same naming conventions—they include SKYHOOKCHOW, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, and DESERTWINTER.

  * El "warm" llamado "fanny" (infección offline) que fue encontrado por Kapersky tiene también características que lo vincula con stuxnext

WIRED escribió:

But the newly uncovered worm created by the Equation Group, which the researchers are calling Fanny after the name of one of its files, has an equally intriguing connection to Stuxnet.

It uses two of the same zero-day exploits that Stuxnet used, including the infamous .LNK zero-day exploit that helped Stuxnet spread to air-gapped machines at Natanz—machines that aren’t connected to the internet. The .LNK exploit in Fanny has a dual purpose—it allows attackers to send code to air-gapped machines via an infected USB stick but also lets them surreptitiously collect intelligence about these systems and transmit it back to the attackers. Fanny does this by storing the intelligence in a hidden file on the USB stick; when the stick is then inserted into a machine connected to the internet, the data intelligence gets transferred to the attackers. EquationDrug also makes use of the .LNK exploit. A component called SF loads it onto USB sticks along with a trojan to infect machines.

The other zero-day Fanny uses is an exploit that Stuxnet used to gain escalated privileges on machines in order to install itself seamlessly.

Les dejo dos links; uno hasta la pagina de kaperky dónde comentan su descubrimiento :
         *** Equation: The Death Star of Malware Galaxy
Como vemos son fanaticos de "Star War" lo que garantiza que son verdaderos geeck. Por lo tanto podemos confiar en kapersky big_smile
         *** Equations group : question and answers
         Es un PDF sobre este grupo que también viene de kapersky

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: evam
Usuarios registrados conectados: 0
Invitados conectados: 6

Estadisticas de los foros

Número total de usuarios registrados: 357
Número total de temas: 621
Número total de mensajes: 4,272

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20