Amerikansk spionprogram infiltrerer firmware

Det russiske it-sikkerhedsfirma Kapersky Lab afslører en alvorlig udgave af spyware, der kan nå helt ned på firmware-niveau. NSA har måske en finger med i spillet.

Iranske, pakistanske og russiske computere var blandt de mest udsatte for et særligt dybdegående stykke spyware, som det russiske it-sikkerhedsfirma Kapersky Lab har optrevlet og offentliggjort mandag i sin nye rapport.

Spionprogrammet var beregnet til at grave sig dybt ned i harddiske på computere, og flere af verdens største producenter skal ifølge Kaspersky Lab være blevet kompromitteret, herunder Western Digital, Seagate og Toshiba, skriver Reuters.

Firmaet ville ikke officielt løfte sløret for ophavslandet til det ondsindede software, men omtalte gruppen bag som ‘The Equation Group’, hvilket har fået flere medier, herunder New York Times, til at spekulere i, at NSA højst sandsynligt står bag.

Kaspersky Lab forbandt under præsentationen af den nye rapport teknikkerne bag spywaren til den berømte orm Stuxnet, der var udarbejdet i samarbejde mellem USA og Israel, og møntet på at ødelægge iranske atom-faciliteter.

Særligt opsigtsvækkende ved det nye software er, at det ifølge sikkerhedsfirmaet er i stand til at bryde helt ind i firmwaren på en computer, og dermed gøre det meget tæt på umuligt at opdage og slette for antivirus-programmer.

»Hvis denne type malware når ind i firmwaren, er den i stand til at genoplive sig selv. Det betyder, at vi i praksis er blinde og ikke kan spore harddiske, der har været inficeret med denne malware,« udtaler Costin Raiu, en trusselsefterforsker hos Kaspersky, i rapporten.

NSA har udtalt til amerikansk presse, at man er bekendt med Kasperskys nye rapport, men har nægtet at kommentere yderligere på indholdet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Jensen

Det er ikke kun harddiskes firmware der kan få NSA-kræft. Det er alle enheder der har firmware som kan opdateres. Der er nok ikke meget andet at gøre end at gå efter hardware som ikke kan firmwareopdateres. Eller mon det kan lade sig gøre at sammenligne fx sha512 aftryk af firmwaren på en sikker måde?

  • 3
  • 0
#2 Simon Bjørnes

Hvor er jeg ved at være træt af USA og NAS. Super vira efter vira bliver lavet af dem og givet til de værste af de værste hacker. Tak USA for at gøre internettet farligere og farligere fordi i ikke har styr på jeres farlige super våben.

  • 7
  • 1
#4 Jan Harries

Du kan direkte kontakte svchost i windows fra nettet, der går du så ind i et program som mange har, f.eks photoshop, eller andet udbredt software.

Så kan du lave en "save as" uden brugeren opdager noget.

Når du har skilt et program ad, ved du hvordan du kan snakke med det og få det til alt muligt. Det er nærmest lige så nemt som at cracke et C64 spil.

Min log er fyldt med skpye og svchost attacks. Jeg har kun 1 vej ind..: skype (ja og så en billig zyxel router)

  • 1
  • 5
#5 Thue Kristensen

Der er alt for meget udstyr hvor firmwaren kan opdateres usen authetifikation. For eksempel både USB og harddiske kan tit opdateres uden at være signeret. Det bør være et lovkrav for EU at massemarket-apparater som kan firmware-updates skal checke signaturen på firmware, eller have en fysisk jumper (default off) som skal sættes før de kan opdateres.

Det er faktisk overhovedet ikke en overraskelse at NSA kan det her. Du kunne bare se hvordan GCHQ gik til værks da de skulle ødelægge the Guardian's computer som havde Snowden-filerne på sig - der sørgede de for at ødelægge alle chips som potentielt kunne have firmware som kunne flashes.

  • 4
  • 0
#8 Bent Jensen

Så du mener at alle router som følger med mere eller mindre alle forbindelser i dag er åbne for indgående forbindelser. Tag dig sammen.

Det vil jeg også mene, bagdør eller fejl i det meste. Enten dumme ting, som ting til automatisk opdatering via net, meget ISP udstyr har det for at kunne auto configures, eller fejl i software eller direkte bagdøren lagt ind af producent eller myndighed. Har du gennemgået og forstået alle linjer i din firmware :-)

Se nu bare på artikel om bagdøre på Harddiske i dag, den så du ikke :-(

Hvis du mener noget andet, bør du ikke have med sikkerned eller netværk at gøre. Har du ikke fuldt debat og læst hvad der sker, så enten er du utrolig naiv, meget uvidende, .... (for at overholde god debat regler og etik) eller også har du selv fingeren i kagedåsen.

  • 0
  • 3
#10 Knud Jensen

Problemet ligger vel i at alt for mange enheder som kan firmware-opdateres, ganske vist har en mulighed for at indlæse en ny ROM, men sjældent har muligheden for at udlæse dens fungerende ROM. Sikkert noget man har gjort for at undgå at konkurrenter ikke skal kunne se den smarte kode ens enheder bruger, men også en lidt uheldig stopklods for at finde inficeret firmware.

Så det kunne vel løses simpelt ved at lovgive om at der skal være mulighed for at udlæse en ROM, for de enheder som har mulighed for at blive opdateret.

  • 1
  • 0
#11 Thue Kristensen

Så det kunne vel løses simpelt ved at lovgive om at der skal være mulighed for at udlæse en ROM, for de enheder som har mulighed for at blive opdateret.

Hvis nogen har overskrevet din ROM, så har de også mulighed for at returnere en falsk ROM når du bruger "udskriv ROM"-interfacet, for for at kunne returnere en ROM skal du jo tale med den kompromiterede ROM selv.

  • 0
  • 0
#13 Frithiof Andreas Jensen

Det bør være et lovkrav for EU at massemarket-apparater som kan firmware-updates skal checke signaturen på firmware,

Det er präcis den slags lovgivning TLA'erne og DRM-mafiaen gerne vil have.

I en verden hvor "de" har den eneste adgang til at bestemme hvilken software der skal installeres kan man aldrig komme af med skidtet igen, selv efter at de "ekstra features" er läkket.

  • 3
  • 0
#14 Lars Juul

Hvis nogen har overskrevet din ROM, så har de også mulighed for at returnere en falsk ROM når du bruger "udskriv ROM"-interfacet, for for at kunne returnere en ROM skal du jo tale med den kompromiterede ROM selv.

Er jeg den eneste der sidder tilbage med lidt kognitiv dissonans p.g.a. begrebet "overskrevet ROM"? Med mindre NSA virkelig har lavet et hack ud over det sædvanlige :-) That was not a good wending.

  • 5
  • 0
Log ind eller Opret konto for at kommentere