Перейти к содержанию

Кибершпионскую программу группы Equation нельзя уничтожить, но вам она не грозит

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Исследование активностей кибершпионской группировки Equation, опубликованное командой GReAT «Лаборатории Касперского», описывает несколько чудес техники.  Эта давно действующая и очень мощная группа создала серию крайне сложных вредоносных «имплантов», но наиболее интересная находка экспертов – это умение зловреда перепрограммировать жесткие диски жертв шпионажа, благодаря чему «импланты» становятся невидимы и практически неуязвимы.

Касперский: более 500 организаций пострадало от кибергруппы Equation http://t.co/aMYdt48JIP
— РИА Новости (@rianru) February 17, 2015

 
Это одна из давних страшилок компьютерной безопасности. Неизлечимый вирус, который навсегда остается в компьютерном оборудовании, считался городской легендой последние три десятилетия – но похоже, кое-кто потратил миллионы долларов, чтобы сделать сказку былью. Некоторые газеты и сайты трактуют эту историю в довольно паническом тоне, заявляя, что хакеры могут «получать таким образом доступ к информации на большинстве компьютеров в мире» . Но нам бы хотелось снизить накал драматизма, поскольку эта возможность скорее всего останется такой же редкой, как панды, самостоятельно переходящие дорогу на ближайшем к вам перекрестке.
The-Equation-Group-1024x767.png
Давайте прежде всего разберемся, что такое «перепрограммирование прошивки винчестера». Жесткий диск состоит из нескольких компонентов, самыми важными из которых являются собственно носитель информации (магнитные диски для классических винчестеров HDD или чипы флэш-памяти для SSD), а также микрочип, который собственно управляет чтением и записью на диск, а также многочисленными сервисными процедурами, например, обнаружением и исправлением ошибок.

Читать далее >>

Sandynist

Sandynist

Опубликовано
Опубликовано

Ну так вроде бы как прошивается сам HDD этим вирусом. Хоть видь, хоть невидь :) Толку то? Побежишь выкидывать жёсткий диск?

SLASH_id

SLASH_id

Опубликовано
Опубликовано

Если прошивку можно записать на винт используя некие средства, значит можно и считать. Если можно считать, значит можно сличить. Если можно сличить, то можно предупредить. Если можно предупредить, значит можно перепрошить.

  • Согласен 1
Pomka.

Pomka.

Опубликовано
Опубликовано

но главное для начала найти а KIS этого не делает

и кстати прочитав статью а так понял перепрошивать хард один фиг бесполезно

так как вирусняк создает скрытый раздел на винте который не форматируется и  от туда восстанавливается.

Mrak

Mrak

Опубликовано
Опубликовано (изменено)

Так вывод каков, кис обнаруживает заразу?

Изменено пользователем Mrak
status12

status12

Опубликовано
Опубликовано

 

 


Так вывод каков, кис обнаруживает заразу?
Похоже нет.
Денис-НН

Денис-НН

Опубликовано
Опубликовано

Обнаружить можно по результатам действия заразы. Она же не просто сидит в прошивке. Долна создавать на диске какие-то файлы, передавать собранную информацию, размножаться. Это деятельность можно отследить.


Если прошивку можно записать на винт используя некие средства, значит можно и считать. Если можно считать, значит можно сличить. Если можно сличить, то можно предупредить. Если можно предупредить, значит можно перепрошить.

Сначала согласился. А вот подумав... Перепрошить может и не получиться. Имеющаяся прошивка может просто имитировать процесс перепрошивки, а на самом деле игнорируя все действия направленные на её изменения. И считывание - может быть при считывании подсовывается оригинальная копия?

В таком случае для прошивки может потребоваться специальное оборудование, которого дома просто нет, и которое стоит больших денег.

Pomka.

Pomka.

Опубликовано
Опубликовано

ребята перечитайте еще раз внимательно статью.

там ни слова что обнаруживает, вот меня это и беспокоит

SLASH_id

SLASH_id

Опубликовано
Опубликовано (изменено)
Имеющаяся прошивка может просто имитировать процесс перепрошивки

Прошивка в чипе. И прошивается именно он. Игнорировать утилиту перепрошивки он по определению не может. Ибо утилите побоку что на нем записано сейчас. Сначала erase, потом write.

 

 

при считывании подсовывается оригинальная копия

Тогда чип должен быть минимум в два раза больше обьемом чем сторонняя проша это раз. А во вторых данные считываются опять таки с чипа, и в принципе побоку что там записано, на вывод из чипа сырых данных никак не влияет то, что записано внутри.

 

Действия которые вы предполагаете можно сделать разве что на железном уровне, но никак не путём модификации софта исходного железа.

 

 

перепрошивать хард один фиг бесполезно так как вирусняк создает скрытый раздел на винте который не форматируется и  от туда восстанавливается

 

Ок, предположим меня предупредили о модификации прошивки.

Перепрошиваю родную.

Каким образом зловред восстановится из скрытого раздела, если после восстановления оригинальной проши винт к этому разделу даже обращаться не будет?

Ну а как придет пора переразмечать винт по надобности - этот раздел будет успешно мной грохнут. Ну или почитав о том о чем меня предупредил какой-либо софт, ничто мне после восстановления проши винта грохнуть раздел тем же акронисом или средствами винды, ведь он перестанет быть защищенным теперь)

Изменено пользователем SLASH_id
  • Согласен 1
Pomka.

Pomka.

Опубликовано
Опубликовано

короче вопросов больше чем ответов...нужно в тему ребят из ЛК подтянуть,,,

пойду стукну в личку...

  • Согласен 1
Денис-НН

Денис-НН

Опубликовано
Опубликовано

Тёмное это дело.

По поводу перепрошики. Контроллеры нынче умные пошли. Как я понимаю, при перепрошивке контроллеру скармливается некий служебный код, при опознании которого дальнейшие данные он пишет на на рабочие области диска, а сам на себя, во внутреннюю память контроллера.  Если прошивку модифицировать один раз таким образом, что ответ контроллера будет"данные стёрты" "данные записываются 100%" а по факту он никаких действий не производит? Новая прошивка просто уходит в никуда. Я не беру случаи перепрошивки в заводских условиях, когда используется совсем другое оборудование.

 

P.S. На работе стоит роутер асус, который принципиально не перепрошивается. Прошивка загружается, прогресс бар ползёт, появляется сообщение об успешном окончании. Но после перезагрузки номер версии прошивки остаётся старым.

neotrance

neotrance

Опубликовано
Опубликовано

 

 


там ни слова что обнаруживает, вот меня это и беспокоит

Почему тебя это так беспокоит? Ведь написали: 

Это очень высокоуровневая и профессиональная работа, которая требует месяцев разработки и многомиллионных инвестиций.
 
это «бутиковый» подход ко взломам, который трудно развернуть в широком масштабе. Производители дисков выпускают новые винчестеры и их прошивки чуть ли не каждый месяц, и взламывать каждую из них — трудно и бессмысленно даже группе Equation, не говоря уже обо всех остальных.
 
среднестатистическому пользователю ничего не угрожает

 

 

Pomka.

Pomka.

Опубликовано
Опубликовано

конечно ничего не угрожает потому что как правило у простых пользователей тырить нечего

но не факт что у них не зараженные диски

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...