Guru internetové bezpečnosti odhalil novou hrozbu. Obrana proti ní neexistuje

Jméno Jevgenij Kasperskij má ve světě počítačů zvuk, i když mnohým může znít poněkud falešně.

Tento přední světový expert na bezpečnost informačních technologií, majitel společnosti Kaspersky Lab, vystudoval v roce 1987 matematickou fakultu Vysoké školy KGB (v roce 1992 přejmenované na Institut kryptografie, telekomunikací a výpočetních věd na Akademii FSB) v Moskvě, poté pracoval pro sovětskou armádu.

Když Edward Snowden, někdejší zaměstnanec Národní bezpečnostní služby NSA, zveřejnil její tajné materiály, označil ho Kasperskij za zrádce. A vždy se najde dost hlasů, které tvrdí, že jeho varování před nejrůznějšími kyber hrozbami jen podporují byznys, ve kterém podniká. Tedy jak se těmto domnělým či skutečným hrozbám bránit.

Spyware, který naše programy nezastaví

Nicméně společnost Kaspersky Lab opakovaně odhalila a zveřejnila reálné hrozby, které představovaly skutečné riziko. Naposledy to zopakovala před několika dny, a to hned dvakrát.

Nejdříve zveřejnila detailní informace o řádění skupiny označované jako Carbanak, která se nabourala do počítačových systémů celé řady bank po celém světě. Hackerskému gangu se podle dosavadních informací podařilo ukrást několik miliónů dolarů.

Následně pak upozornila na tzv. “Equation Group”, která dokáže do počítačů nainstalovat špionážní program tzv. spyware. Ten poskytuje kontrolu nad hardisky i SSD, a to i těmi, které byly zcela smazány či jsou znovu využívány po reinstalaci operačního systému. Antivirové programy nemají podle Kaspersky Lab šanci tohoto „červa“ odhalit.

Nitky vedou k NSA

Kaspersky Lab tvrdí, že spyware se objevil na pevných discích počítačů v třiceti zemích světa, přičemž tento červ, přezdívaný Fanny, byl pravděpodobně předchůdcem jiných červů NSA typu Stuxnet.

I když Kaspersky Lab konkrétně NSA ve své zprávě nejmenuje, uvádí, že za Fanny stojí stejní lidé, kteří vytvořili Stuxnet, napsal specializovaný server ITBIZ. Počítačového červa Stuxnet, o němž se začalo psát v roce 2010, vyvinula NSA k průniku do počítačových systémů íránského nukleárního programu. Podle agentury Reuters bývalý zaměstnanec NSA „potvrdil, že NSA přišla na to, jak implementovat červa hluboko do firmwaru pevných disků“.

Podle Kaspersky Lab byl nový červ objeven na pevných discích od více než tuctu známých výrobců jako Seagate, Maxtor (nyní dceřiná společnost Seagate), Western Digital, Toshiba, IBM, a i u SSD disků firem jako Micron a Samsung.

Nepoznáte to!

„To, že jste infikováni, nemáte šanci poznat,“ citoval ITBIZ Igora Soumenkova z Kaspersky Lab. „Jakmile je disk tímto červen infikován, není možné antivirem skenovat jeho firmware.“ S tím souhlasí i softwarový inženýr a bezpečnostní expert Steve Gibsob, podle kterého je červ NSA nemožné detekovat, jelikož mění „chování“ infikovaného disku, který následně není možné skenovat nebo u něj hledat provedené změny.

„Jedinou věc, kterou lze udělat, je sledovat chování disku. A to je velmi složité, jelikož je možné si něčeho všimnout pouze při bootování systému… když neběží nic jiného,“ uvedl Gibson, zakladatel společnost Gibson Research, jež mimo jiné poskytuje skenovací software SpinRite pro pevné disky.

Gibson je toho názoru, že to, co našel Kaspersky, není klasický červ, jako spíše důkaz toho, že existuje technologie schopná vložit kód přímo do pevného disku.

Postižení výrobci pevných disků oznámili, že se na vývoji spywarů nepodíleli a ani o nich nic nevědí.

Vybírá jen nejhodnotnější cíle

ITBIZ dále tlumočí Kasperského, podle nějž je asi nejsilnější zbraní, kterou má NSA ve svém „arzenálu“, tajemný modul označovaný jako „nls_933w.dll“. Ten umožňuje útočníkům přeprogramovat firmware disku. „Vývoj tohoto modulu je úžasným technickým úspěchem a svědčí o nadstandardních schopnostech jeho tvůrců,“ dodal Kasperskij.

Nejvíce infikovaných disků odhalila Kaspersky Lab v Rusku, Pákistánu, Afghánistánu, Číně, Sýrii, Jemenu, Alžírsku a na Mali. Počítače ve většině případů patřily vládním a vojenským institucím, telekomunikačním společnostem, bankám, energetickým firmám, médiím a islámským aktivistům.

„Během našeho výzkumu jsme zjistili, že zmíněná technika byla využita pouze u těch nejhodnotnějších cílů,“ dodal Kasperskij. Samotný spyware je používán pouze k tomu, aby na disk uživatele přenesl upravený firmware, přičemž útočníci k tomu musejí znát speciální pokyny, které se u jednotlivých výrobců liší.

Follow @libor_stejskal