FYI.

This story is over 5 years old.

Para se Livrar do Malware da NSA, Só Quebrando seu HD em Pedacinhos

20.2.15
Crédito: Bill Dickinson/Flickr

A empresa russa de segurança Kaspersky está se referindo a ela como uma das mais sofisticadas funções já vistas em um malware: a capacidade de infectar não só os arquivos em um disco rígido, mas também o firmware que controla o HD em si.

Tal brecha poderia sobreviver a uma limpeza completa do disco rígido, ou à reinstalação de um sistema operacional, e "supera qualquer coisa que já tenhamos visto antes", afirmaram os pesquisadores da empresa em um novo estudo.

Não é o tipo de infecção que seu antivírus comum detectaria. No Encontro de Analistas de Segurança realizado pela Kaspersky, no México, um dos palestrantes recomendou a destruição literal de um disco infectado.

The only way to remove nls_933w.dll #TheSAS2015 #EquationAPT pic.twitter.com/zfVE1kKyha

— Fabio Assolini (@assolini) February 16, 2015

Este detalhe foi revelado em uma tarde de domingo, além de outras informações, como evidências de que um "Estado-Nação" – ​confirmado pela Reuters como sendo a NSA – tem desenvolvido um arsenal de armas cibernéticas desde 2001. A Kaspersky tem se referido aos seus criadores como "Equation Group" e descreve-os como "provavelmente um dos mais sofisticados grupos de ciber-ataques do mundo" e "o mais avançado agente de risco que já vimos".

Os pesquisadores da Kaspersky descobriram diversas plataformas de malware utilizadas pelo Equation Group, com nomes como EquationDrug, DoubleFantasy, GrayFish, e Fanny. Assim como outros malwares da NSA descobertos, ​casos do Stuxnet e do Flame, as plataformas de malware do Equation Group podem ser espalhadas por computadores que não estejam ligados diretamente à internet, por meio de pendrives; em demais casos, os operadores poderiam instalar novas funções remotamente, usando servidores de controle espalhados pelo mundo.

Outras funcionalidades do pacote de aplicativos do Equation Group são mais avançados em termos de escala e execução do que qualquer outra coisa que a Kaspersky já tenha visto.

Vale destacar que a Kaspersky recuperou dois módulos pertencentes ao EquationDrug e GrayFish que foram usados para reprogramar discos rígidos de forma a dar aos invasores controle persistente sobre determinada máquina. Estes módulos podem atacar qualquer marca e fabricante do mercado, incluindo nomes como Seagate, Western Digital, Samsung, Toshiba, Corsair, Hitachi, dentre outros. Tais ataques normalmente são complicados de serem realizados, levando em conta o risco de modificar o software de discos rígidos, o que possivelmente explica porque a Kaspersky só pode identificar um tanto de alvos muito específicos que sofreram este ataque, em casos em que o risco valia a recompensa.

As plataformas de malware do Equation Group também tem outros truques na manga. O GrayFish, por exemplo, consegue se instalar no registro de boot de um computador – o software que carrega antes do sistema operacional de um computador – e salvar todos seus dados em uma parte do sistema operacional conhecido como registro, onde normalmente encontram-se dados de configuração.

O EquationDrug foi projetado para rodar em sistemas operacionais Windows mais antigos, "e alguns dos plug-ins foram criados originalmente para serem rodados no Windows em suas versões 95/98/ME" – versões tão antigas do programa que indicam a idade do próprio Equation Group.

E talvez a mais forte evidência de que o Equation Group seja mesmo a NSA vem da Fanny, outra plataforma de malware criada em 2008. A Fanny usava duas das brechas que o Stuxnet também usava – antes do Stuxnet. "O uso semelhante de ambas as brechas indicam que o Equation Group e os desenvolvedores do Stuxnet são os mesmos ou trabalham juntos", de acordo com a pesquisa.

Outras revelações interessantes na pesquisa incluem evidências de que o Equation Group aparentemente reutilizou um vulnerabilidade usada pela primeira vez pela China em seu ataque de 2009 contra o Google, empregando-a contra usuários do governo no Afeganistão.

A pesquisa também sugere a existência de um malware projetado para atacar Macs rodando OS X - algo que inédito em termos de documentos vazados atribuídos à NSA e o GCHQ – e um ataque desconhecido contra usuários do navegador Firefox que acessavam a rede Tor.

Seja como for, malware que consegue infectar discos rígidos é outro nível – ou deveríamos dizer, baixo nível – de maldade.

Tradução: Thiago "Índio" Silva