Découverte d’un logiciel espion dans le firmware des disques durs
18.02.15 - InformatiqueNews
19 février 2015 10:31 16 messages
Depuis plusieurs années, l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab suit étroitement plus de 60 menaces avancées responsables de différentes cyberattaques à travers le monde. Elle a ainsi fait des observations de toutes sortes, les attaques gagnant en complexité à mesure qu’un nombre croissant de pays se sont impliqués et efforcés de se doter des outils les plus évolués.
Selon les chercheurs de Kaspersky Lab, « Equation Group » se singularise par pratiquement chaque aspect de ses activités : il utilise des outils très complexes et coûteux à développer pour infecter ses victimes, récupérer des données et masquer ses actions d’une façon extrêmement professionnelle, ainsi que des techniques classiques d’espionnage pour diffuser ses codes malveillants.
Pour infecter ses victimes, le groupe emploie un puissant arsenal d’« implants » (Trojans), notamment les suivants, dont les noms ont été attribués par Kaspersky Lab : EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny et GrayFish. L’existence d’autres implants ne paraît faire aucun doute.
Persistance et invisibilité poussées à l’extrême
L’équipe GReAT a pu récupérer deux modules servant à reprogrammer le firmware de disque dur de plus d’une douzaine de marques répandues. Il s’agit peut-être de l’outil le plus puissant dans l’arsenal d’Equation Group et du premier malware connu capable d’infecter les disques durs.
En reprogrammant le firmware du disque dur (c’est-à-dire en réécrivant le système d’exploitation du disque), le groupe atteint deux objectifs
Un niveau extrême de persistance permettant au malware de résister à un reformatage du disque et une réinstallation du système d’exploitation. Dès lors que le malware s’est introduit dans le firmware, il est à même de se régénérer à l’infini. Il peut par exemple empêcher l’effacement d’un certain secteur du disque ou bien le remplacer par un code malveillant à l’amorçage du système.
« Un autre danger tient au fait qu’une fois le disque dur infecté par ce code malveillant, il devient impossible d’analyser son firmware. En termes simples, les disques durs comportent pour la plupart des fonctions permettant d’écrire dans le firmware matériel mais aucune pour vérifier l’écriture, de sorte que nous sommes pratiquement aveugles et incapables de détecter les disques durs infectés par ce malware », avertit Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab.
La capacité de créer une zone invisible et persistante à l’intérieur du disque dur. Celle-ci sert à enregistrer des informations qui pourront être exfiltrées ultérieurement par les auteurs de l’attaque. En outre, dans certains cas, elle peut aussi aider le groupe à percer le cryptage : « Etant donné que l’implant GrayFish est actif dès le début de l’amorçage du système, il permet de capturer la clé de cryptage et de l’enregistrer dans la zone cachée », explique Costin Raiu.
Capacité de récupérer des données sur des réseaux isolés
Parmi toutes les attaques lancées par Equation Group, le ver Fanny se démarque. Il a pour but principal de cartographier les réseaux isolés, c’est-à-dire de déterminer la topologie d’un réseau inaccessible par Internet et d’y exécuter des commandes. Pour ce faire, il utilise un mécanisme unique de commande et contrôle (C&C) sur une clé USB, permettant aux auteurs de l’attaque de faire entrer et sortir des données sur les réseaux isolés.
En particulier, une clé USB infectée avec une zone de stockage cachée a été employée pour recueillir des informations système de base sur un ordinateur non connecté à Internet et les transmettre à un serveur C&C dès que la clé est insérée dans une autre machine infectée par Fanny et disposant d’une connexion Internet. Pour exécuter des commandes sur un réseau isolé, il suffit de les enregistrer dans la zone cachée de la clé. Lorsque cette dernière est introduite dans un ordinateur du réseau, Fanny reconnaît les commandes et les exécute.
Méthodes classiques d’espionnage pour la diffusion des malwares
Les auteurs des attaques ont utilisé des méthodes universelles pour infecter les cibles, que ce soit via le Web ou dans le monde physique. A cette fin, ils ont intercepté des produits physiques pour leur substituer des versions contaminées par des chevaux de Troie. Cette technique a été employée, par exemple, pour cibler les participants d’une conférence scientifique à Houston (Texas) : à leur retour chez eux, certains des participants ont reçu un compte rendu de la conférence sur un CD-ROM qui a ensuite servi à installer l’implant DoubleFantasy sur la machine cible. La méthode exacte de falsification des CD reste inconnue.
Il existe de solides indices d’interactions d’Equation Group avec d’autres groupes puissants, tels que les opérateurs des campagnes Stuxnet et Flame, généralement en position de supériorité. Equation Group a ainsi eu accès à des failles « zero day » avant qu’elles ne soient exploitées par Stuxnet et Flame. A un moment donné, il a également partagé des exploitations de vulnérabilités avec d’autres.
Par exemple, en 2008, Fanny a utilisé deux failles « zero day » qui ont été par la suite exploitées dans Stuxnet en juin 2009 et mars 2010. Pour l’une d’elles, Stuxnet reprenait en fait un module Flame exploitant la même vulnérabilité et passé directement d’une plate-forme à l’autre.
Des milliers de victimes dans le monde entier
Equation Group utilise une vaste infrastructure C&C qui comprend plus de 300 domaines et 100 serveurs. Les serveurs sont hébergés dans de nombreux pays (Etats-Unis, Royaume-Uni, Italie, Allemagne, Pays-Bas, Panama, Costa Rica, Malaisie, Colombie et République tchèque, notamment). Kaspersky Lab surveille actuellement plus d’une vingtaine de serveurs C&C.
Depuis 2001, Equation Group a infecté des milliers voire des dizaines de milliers de victimes dans plus d’une trentaine de pays à travers le monde, appartenant aux secteurs ou milieux suivants : administrations et missions diplomatiques, télécommunications, aéronautique, énergie, recherche nucléaire, pétrole et gaz, défense, nanotechnologies, militants et érudits islamiques, médias, transports, établissements financiers ou encore développeurs de technologies de cryptage.
Kaspersky Lab a observé sept exploits utilisés par l’Equation Group dans ses malwares, dont au moins 4 comme « zero day ». En outre, des failles inconnues, peut-être « zero day », ont été exploitées contre Firefox 17, tout comme dans le navigateur Tor. Pendant la phase d’infection, le groupe a la capacité d’exploiter dix vulnérabilités en chaîne. Cependant, les chercheurs de Kaspersky Lab n’en ont constaté pas plus de 3 à la suite : si la première échoue, une deuxième est essayée, puis une troisième. En cas de triple échec, le système n’est pas infecté.
Source Kaspersky Lab
Voir en ligne : Découverte d’un logiciel espion dans le firmware des disques durs
Dans la même rubrique
18 février – Renouvellement de licence ESET
24 janvier – 773 millions d’adresses e-mail et 21 millions de mots de passe révélées
20 décembre 2017 – ESET rejoint le dispositif national d’assistance aux victimes d’actes de cybermalveillance
13 décembre 2017 – Hyper-connectivité au menu de Windows 10
13 décembre 2017 – Un ransomware Android modifiant le PIN
13 Messages
Very descriptive post, I liked that bit.
Will there be a part 2 ?
Feel free to surf to my site - [LionelVNikas->http://pipecomponent.ru/component/k2/author/56886]
Voir en ligne : LionelVNikas
1. Découverte d’un logiciel espion dans le firmware des disques durs, 19 mai 2016, 07:29, par Denis Bradley
With havin a lot content and articles do you ever come across any issues of plagorism or copyright violation ? My
website has a lot of unique content I've either authored myself or outsourced but it really seems a
variety of it is popping it all over the web without my permission. Have you
any idea any techniques to help prevent content from being ripped off ?
I'd definitely appreciate it.
Also visit my blog : [FannieJAdams->http://www.madegrandemadeiras.com.br/?option=com_k2&view=itemlist&task=user&id=49958]
Voir en ligne : FannieJAdams
2. Découverte d’un logiciel espion dans le firmware des disques durs, 28 mai 2016, 16:25, par Jerrold
Once I originally left a comment I seem to have clicked on the -Notify me when new
comments are added- checkbox and from now on every time a comment is added I recieve four emails with
the exact same comment. There needs to be a simple
method it is possible to remove me from that service ?
Kudos !
My webpage ; [ThiVBachleda->http://optimumresas.fr/groups/randi-covey-getting-the-best-from-your-brewed-coffee/]
Voir en ligne : ThiVBachleda
3. Découverte d’un logiciel espion dans le firmware des disques durs, 29 mai 2016, 18:52, par Evangeline
I'm really experiencing and enjoying the design and layout of your own site.
It's a very easy in the eyes rendering it a lot more
pleasant for me personally into the future here and visit
more frequently. Do you hire out a developer to create your theme ?
Great work !
Feel free to surf to my site : [ChrisSKanz->http://www.webdesignerdirectory.net/?option=com_k2&view=itemlist&task=user&id=285679]
Voir en ligne : ChrisSKanz
I always spent my 30 minutes to learn this blog's articles or reviews everyday together with a cup of
coffee.
Visit my blog post :: [AlvaVChowhan->http://veohospedaje.com/index.php/component/k2/itemlist/user/41370]
Voir en ligne : AlvaVChowhan
Hello there ! I understand this is certainly somewhat off topic nevertheless i was wondering which blog platform are you currently using just for this website ?
I'm getting sick and tired of Wordpress because I've had problems with hackers
and I'm taking a look at options for another platform.
I might be awesome should you could point me in the direction of a good platform.
Feel free to visit my weblog ... [LucinaDCerva->http://visezdeparte.com/index.php?do=/blog/8907/oretha-moffitt-big-ideas-to-build-up-your-golf-game/]
Voir en ligne : LucinaDCerva
Howdy ! Do you know if they make any plugins to safeguard against hackers ?
I'm kinda paranoid about losing everything I've worked hard on. Any
tips ?
Here is my web page ... [AllenQSlomba->http://bio-panasonic.cn/comment/html/index.php?page=1&id=1073]
I
If it is an informal evening party or simply get together
of friends, family and relatives then you are
a free bird to wear any evening dress of your own choice.
A cocktail party is a semi-formal event, which means that women have a wide range of fashion options.
You will see perfectly spaced buttons and laces that are placed in difficult places
around the wedding own. These kinds of abrasions might just go away in a couple of days but for the reason that they could
be avoided simply by putting on a pair of socks, you don't
have to worry about them. forget to create a beautiful bridesmaid dresses
within your budget first, you should make sure their [dresses->http://dresses.reddress2016.com]
will fit your bridesmaids suitably. The Garden Print Scoop
Neck Dress is a stunning maternity dress that is flattering and very comfortable.
There are 100+ pieces of clothing that you can collect in Fable 3.
Many of these bloggers earn passive income as their written articles
generate advertising dollars from sites that
compensate them based on the amount of traffic their sites receive.
I don't know about you but these days a small can actually
fit me like a medium, and a medium a large. Sandra Lipsitz Bem is a psychologist who developed the
gender schema theory to explain how individuals come to use gender as an organizing category in all aspects of their life.
She's been an expert on the CBS Early Show & the AM Northwest Early Show and a radio guest on the Curtis
Sliwa show. Transgender people can also be physically androgynous or
identify as androgynous.
Here is my web-site ; [women s clothing amazon ashley twerking->http://red-dresses-for-juniors-macys.reddress2016.com]
Wow ! Finally I bought a weblog from where I have the ability to actually obtain useful information regarding my study and data.
Feel free to surf to my web site [ScottDVick->http://www.wagnerwerks.com/index.php/component/k2/itemlist/user/33846.html]
I really like what you guys tend to be up too. This kind of clever work and exposure !
Keep up the awesome works guys I've added you guys to blogroll.
My blog ; [og baller->http://emceekerser.com/]
Greate article. Keep posting such kind of info on your
site. Im really impressed by your site.
Hey there, You have performed an incredible job.
I'll definitely digg it and in my view suggest to my friends.
I am confident they'll be benefited from this website.
my blog ... [StantonQHopp->http://zjhaid.com/comment/html/index.php?page=1&id=22709]
Write more, thats all I have to mention. Literally, it appears to be
like you used the recording to make your point. You obviously
determine what youre speaking about, why throw away your intelligence on just posting
videos to your weblog when you might be giving us something
enlightening to read ?
Here is my weblog - [BusterYGoo->http://cecso.net/members/mauriciosamson/]
Informative article, just what I was looking for.
Also visit my web-site :: [QianaZSons->http://www.lavanderiacapital.com.br/?option=com_k2&view=itemlist&task=user&id=440506]
Things i will not understood is in fact how you are not
actually a lot more smartly-preferred than you
can be at the moment. You are very intelligent. You understand therefore
significantly in the matter of this subject, produced me in my view believe
it from so many varied angles. Its like individuals don't seem
to be involved until it can be one thing to accomplish
with Lady gaga ! Your own personal stuffs excellent.
Constantly look after it !
Feel free to surf to my website ... [MariaARylant->http://visti-k.ru/?option=com_k2&view=itemlist&task=user&id=11825]