Forestil dig noget rigtig træls malware. Læg lidt til. Og så har du muligvis et billede af den malware, som Kaspersky Lab for nyligt har afdækket (PDF), og som har floreret de seneste år.
It-sikkerhedsvirksomheden tilskriver softwaren den såkaldte Equation Group. Flere har påpeget, det kan være det samme som NSA. Men som så ofte med den slags ting, er det svært at bevise entydigt, og Kaspersky nævner da heller ikke selv, det amerikanske spionagentur i den sammenhæng.
Det er der flere andre, der gør. Eksempelvis teknologimediet Arstechnica peger på flere sammenfald mellem metoder, der tidligere er blevet tilskrevet NSA - blandt andet i kraft af whistlebloweren Edward Snowdens afsløringer - og så det arbejde, som Kaspersky tilskriver Equation Group i den seneste rapport.
Og under Kasperskys skriv om rapporten er der eksempelvis en læser, der påpeger i debatten, at tyske Spiegel har bragt et læk, hvor NSA i 2006 i et stillingsopslag skulle søge én med forstand på overskrivning af harddisk-firmware.
Sådan en funktionalitet må formodes at være enhver it-sikkerhedsansvarligs absolutte mareridt. Med Kasperskys afdækning af Equation Groups arbejde viser det mareridt sig også at være den skinbarlige virkelighed.
En funktion i et større malware-framework, der overskriver firmware i gængse harddisk-mærker - eksempelvis Western Digital - er en realitet. Tilfælde, hvor Equation Group har anvendt den malware, der kan overskrive firmwaren i harddiske, lader heldigvis til ikke at være sket i flæng.
Så hvis du læser dette og spekulerer på, om det system, der styrer din harddisk indeholder virus, så er der formentlig ikke grund til panik. Der er dog et problem i den sammenhæng.
Ikke muligt at detektere
Det er i udgangspunktet ikke muligt at detektere, hvorvidt firmwaren på harddisken faktisk er kompromitteret. Det skyldes den måde harddiske er indrettet på.
»Når først harddisken bliver inficeret med den ondsindede payload, så er det umuligt at scanne dens firmware. For at sige det enkelt: På de fleste harddiske er der funktionalitet, der gør det muligt at skrive ind i hardwarens firmware-område, men der er ikke nogen funktioner til at læse tilbage igen. Det vil sige, at vi i praksis er blinde, og at vi ikke kan detektere harddiske, der er blevet inficeret med denne malware,« skriver Igor Soumenkov, principal security researcher ved Kaspersky Lab i en mail til Version2.
Han fortæller, at Kaspersky har fået fat på to omprogrammeringsmoduler til harddiskes firmware fra to forskellige malware-frameworks. EquationDrug og GrayFish. EquationDrug har været aktivt siden 2003. GrayFish siden 2008.
Equation Groups malware er blevet observeret i mere end 30 lande, herunder Iran, Rusland, Syrien, Afghanistan, Kasakhstan, Belgien, Somalia, Hongkong, Libyen, De Forenede Arabiske Emirater, Irak, Nigeria, Ecuador, Mexico, Malaysia, USA, Sudan, Libanon, Palæstina, Frankrig, Tyskland, Singapore, Qatar, Pakistan, Yemen, Mali, Schweiz, Bangladesh, Sydafrika, Filippinerne, Storbritannien, Indien og Brasilien.
Og altså ikke i Danmark. Men da det i udgangspunktet ikke er muligt at se, hvorvidt en harddisk har fået overskrevet firmwaren, kan danske virksomheder og organisationer reelt set heller ikke være sikre på styresystemet i harddiske.
»Vi har ikke set ofre i Danmark, men vi kan ikke være sikre på, de ikke eksisterer,« påpeger Igor Soumenkov.
Forekomsten af firmware-overskrivningsmalwaren betegner han dog som ekstremt sjældent.
»Det er formentlig forbeholdt meget værdifulde ofre eller nogle ganske særlige omstændigheder. Hvis ikke brugeren har noget at gøre med ekstra-hemmelig forskning eller lignende, så er risikoen for, at harddisk-firmwaren er inficeret, tæt på nul.«
Det er godt nyt. For malwaren i harddisk-firmwaren er svært problematisk er flere årsager.
Kan genoplive sig selv
Dels betyder det, at uanset hvor grundigt disken formateres eller overskrives, vil det ikke være muligt at komme alle tidligere lagrede bits og bytes til livs. Malwaren kan nemlig lave et hemmeligt lager på disken med indhentede data fra en organisation, som kan hentes frem af bagmændene ved senere lejlighed.
Derudover er det ifølge Igor Soumenkov muligt at inficere en ellers ren maskine med den kompromitterede malware.
»Hvis malwaren kommer ind i firmwaren, så er den i stand til at genoplive sig selv for evigt. Den kan forhindre sletning af visse disksektorer eller udskifte dem med ondsindede (sektorer, red.) under boot,« forklarer Igor Soumenkov.
Så malware, der ikke kan detekteres, kan oprette et hemmeligt lager på disken, der ikke kan slettes - og i øvrigt inficere en ellers renset maskine med skadelig software.
Men hvad skal man gøre, hvis man vil være helt sikker på, at man ikke er inficeret, vil nogen måske spørge. Særligt hvis ‘nogen’ er en organisation, der arbejder med særdeles følsomme oplysninger.
Igor Soumenkov har et forslag.
»Hvis firmwaren allerede er inficeret, så er det eneste man kan gøre fysisk at ødelægge harddisken og erstatte den med en ny. Bare at smide disken væk er ikke en mulighed, da disken stadig kan indeholde et skjult område med vigtige oplysninger indsamlet fra systemet.«
Fysisk ødelæggelse af disken behøver i den forbindelse ikke inkludere noget med en hammer. Et instrument, der næppe heller vil være særligt effektivt til fjerne data helt, såfremt lagerenheden fungerer via magnetiserede plader. Degaussing af disken, der med et magnetfelt ødelægger data, vil formentlig kunne gøre det.
DI maner til besindighed
Version2 har spurgt Center for Cybersikkerhed til, hvordan danske myndigheder og virksomheder bør forholde sig i lyset af Kasperskys afdækning af Equation Groups arbejde gennem årene og herunder altså malware, der ikke kan detekteres eller fjernes.
Center for Cybersikkerhed er foreløbigt vendt tilbage med en midlertidig melding om, at Version2's spørgsmål er vendt internt.
Henning Mortensen, it-sikkerhedsmand og chefkonsulent hos erhvervsorganisationen DI's tele- og it-gren, ITEK, fortæller i en mail, at han er bekendt med Kaspersky-rapporten om Equation Group. Og han mener bestemt ikke, der er grund til at opfordre til en større storage-udskiftning i danske organisationer.
»Som udgangspunkt maner vi til besindighed. Der er ikke meget der tyder på stor udbredelse i Danmark, og vi har ikke haft henvendelser vedrørende dette angreb. Med tiden kommer der forhåbentlig et værktøj, som kan identificere inficerede diske,« skriver Henning Mortensen i en mail.
Derudover henviser han til de Command & Control-servere, som Kaspersky-rapporten (PDF) nævner, og som er blevet brugt til at fjernstyre malwaren.
»Det, virksomheder kan gøre, er at identificere og evt. blokere kommunikation til de domæner for C&C-servere, som Kaspersky har fremlagt. Hvis man af en eller anden grund er sikker på, at man er inficeret og disken indeholder følsomme data, må man tage sin disk offline og prøve at kopiere data.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
