Harddisken skal smadres fysisk: Udødelig malware kan også florere i Danmark

Den eneste måde at slippe af med nyopdaget og særdeles avanceret malware på kan være at smadre harddisken. Malwaren kan i øvrigt i udgangspunktet ikke detekteres. Og den kan også ligge på danske diske, oplyser Kaspersky Lab.

Forestil dig noget rigtig træls malware. Læg lidt til. Og så har du muligvis et billede af den malware, som Kaspersky Lab for nyligt har afdækket (PDF), og som har floreret de seneste år.

It-sikkerhedsvirksomheden tilskriver softwaren den såkaldte Equation Group. Flere har påpeget, det kan være det samme som NSA. Men som så ofte med den slags ting, er det svært at bevise entydigt, og Kaspersky nævner da heller ikke selv, det amerikanske spionagentur i den sammenhæng.

Det er der flere andre, der gør. Eksempelvis teknologimediet Arstechnica peger på flere sammenfald mellem metoder, der tidligere er blevet tilskrevet NSA - blandt andet i kraft af whistlebloweren Edward Snowdens afsløringer - og så det arbejde, som Kaspersky tilskriver Equation Group i den seneste rapport.

Og under Kasperskys skriv om rapporten er der eksempelvis en læser, der påpeger i debatten, at tyske Spiegel har bragt et læk, hvor NSA i 2006 i et stillingsopslag skulle søge én med forstand på overskrivning af harddisk-firmware.

Læs også: Amerikansk spionprogram infiltrerer firmware

Sådan en funktionalitet må formodes at være enhver it-sikkerhedsansvarligs absolutte mareridt. Med Kasperskys afdækning af Equation Groups arbejde viser det mareridt sig også at være den skinbarlige virkelighed.

En funktion i et større malware-framework, der overskriver firmware i gængse harddisk-mærker - eksempelvis Western Digital - er en realitet. Tilfælde, hvor Equation Group har anvendt den malware, der kan overskrive firmwaren i harddiske, lader heldigvis til ikke at være sket i flæng.

Så hvis du læser dette og spekulerer på, om det system, der styrer din harddisk indeholder virus, så er der formentlig ikke grund til panik. Der er dog et problem i den sammenhæng.

Ikke muligt at detektere

Det er i udgangspunktet ikke muligt at detektere, hvorvidt firmwaren på harddisken faktisk er kompromitteret. Det skyldes den måde harddiske er indrettet på.

»Når først harddisken bliver inficeret med den ondsindede payload, så er det umuligt at scanne dens firmware. For at sige det enkelt: På de fleste harddiske er der funktionalitet, der gør det muligt at skrive ind i hardwarens firmware-område, men der er ikke nogen funktioner til at læse tilbage igen. Det vil sige, at vi i praksis er blinde, og at vi ikke kan detektere harddiske, der er blevet inficeret med denne malware,« skriver Igor Soumenkov, principal security researcher ved Kaspersky Lab i en mail til Version2.

Han fortæller, at Kaspersky har fået fat på to omprogrammeringsmoduler til harddiskes firmware fra to forskellige malware-frameworks. EquationDrug og GrayFish. EquationDrug har været aktivt siden 2003. GrayFish siden 2008.

Equation Groups malware er blevet observeret i mere end 30 lande, herunder Iran, Rusland, Syrien, Afghanistan, Kasakhstan, Belgien, Somalia, Hongkong, Libyen, De Forenede Arabiske Emirater, Irak, Nigeria, Ecuador, Mexico, Malaysia, USA, Sudan, Libanon, Palæstina, Frankrig, Tyskland, Singapore, Qatar, Pakistan, Yemen, Mali, Schweiz, Bangladesh, Sydafrika, Filippinerne, Storbritannien, Indien og Brasilien.

Læs også: Back to the notebook

Og altså ikke i Danmark. Men da det i udgangspunktet ikke er muligt at se, hvorvidt en harddisk har fået overskrevet firmwaren, kan danske virksomheder og organisationer reelt set heller ikke være sikre på styresystemet i harddiske.

»Vi har ikke set ofre i Danmark, men vi kan ikke være sikre på, de ikke eksisterer,« påpeger Igor Soumenkov.

Forekomsten af firmware-overskrivningsmalwaren betegner han dog som ekstremt sjældent.

»Det er formentlig forbeholdt meget værdifulde ofre eller nogle ganske særlige omstændigheder. Hvis ikke brugeren har noget at gøre med ekstra-hemmelig forskning eller lignende, så er risikoen for, at harddisk-firmwaren er inficeret, tæt på nul.«

Det er godt nyt. For malwaren i harddisk-firmwaren er svært problematisk er flere årsager.

Kan genoplive sig selv

Dels betyder det, at uanset hvor grundigt disken formateres eller overskrives, vil det ikke være muligt at komme alle tidligere lagrede bits og bytes til livs. Malwaren kan nemlig lave et hemmeligt lager på disken med indhentede data fra en organisation, som kan hentes frem af bagmændene ved senere lejlighed.

Derudover er det ifølge Igor Soumenkov muligt at inficere en ellers ren maskine med den kompromitterede malware.

»Hvis malwaren kommer ind i firmwaren, så er den i stand til at genoplive sig selv for evigt. Den kan forhindre sletning af visse disksektorer eller udskifte dem med ondsindede (sektorer, red.) under boot,« forklarer Igor Soumenkov.

Så malware, der ikke kan detekteres, kan oprette et hemmeligt lager på disken, der ikke kan slettes - og i øvrigt inficere en ellers renset maskine med skadelig software.

Men hvad skal man gøre, hvis man vil være helt sikker på, at man ikke er inficeret, vil nogen måske spørge. Særligt hvis ‘nogen’ er en organisation, der arbejder med særdeles følsomme oplysninger.

Igor Soumenkov har et forslag.

»Hvis firmwaren allerede er inficeret, så er det eneste man kan gøre fysisk at ødelægge harddisken og erstatte den med en ny. Bare at smide disken væk er ikke en mulighed, da disken stadig kan indeholde et skjult område med vigtige oplysninger indsamlet fra systemet.«

Fysisk ødelæggelse af disken behøver i den forbindelse ikke inkludere noget med en hammer. Et instrument, der næppe heller vil være særligt effektivt til fjerne data helt, såfremt lagerenheden fungerer via magnetiserede plader. Degaussing af disken, der med et magnetfelt ødelægger data, vil formentlig kunne gøre det.

DI maner til besindighed

Version2 har spurgt Center for Cybersikkerhed til, hvordan danske myndigheder og virksomheder bør forholde sig i lyset af Kasperskys afdækning af Equation Groups arbejde gennem årene og herunder altså malware, der ikke kan detekteres eller fjernes.

Center for Cybersikkerhed er foreløbigt vendt tilbage med en midlertidig melding om, at Version2's spørgsmål er vendt internt.

Henning Mortensen, it-sikkerhedsmand og chefkonsulent hos erhvervsorganisationen DI's tele- og it-gren, ITEK, fortæller i en mail, at han er bekendt med Kaspersky-rapporten om Equation Group. Og han mener bestemt ikke, der er grund til at opfordre til en større storage-udskiftning i danske organisationer.

»Som udgangspunkt maner vi til besindighed. Der er ikke meget der tyder på stor udbredelse i Danmark, og vi har ikke haft henvendelser vedrørende dette angreb. Med tiden kommer der forhåbentlig et værktøj, som kan identificere inficerede diske,« skriver Henning Mortensen i en mail.

Derudover henviser han til de Command & Control-servere, som Kaspersky-rapporten (PDF) nævner, og som er blevet brugt til at fjernstyre malwaren.

»Det, virksomheder kan gøre, er at identificere og evt. blokere kommunikation til de domæner for C&C-servere, som Kaspersky har fremlagt. Hvis man af en eller anden grund er sikker på, at man er inficeret og disken indeholder følsomme data, må man tage sin disk offline og prøve at kopiere data.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

Problemet er at man bruger den firmware der ligger på disken til at opdatere den firmware der ligger på disken, hvilket vil sige at vi havner i "Reflections on trusting trust" med det samme.

Formodentlig vil det virke at reflash diskens controllere via JTAG og derefter genskrive firmwaren på mediet, men så er vi ude i noget leverandører helt sikkert ikke vil dele information om.

Preben Pind

Hvis man husker efter, så ændrede man, for et par år siden, i USA - pludselig strategi for udtjente diske - til at de skulle incinereres, i stedet for at kunne nøjes med at blive overskrevet efter en DOD Standard.

Måske fordi man der vidste hvor umuligt det var at slippe af med den malware?

Tobias Skytte

Hvis malwaren reserverer noget af harddiskens kapacitet til hemmeligt lager, kan man så ikke detektere malwaren ved at måle (dvs. skrive/læse) hvor meget harddisken rent faktisk kan lagre? og hvis det man rent faktisk, (dvs. målt ved at afprøve det), kun kan lagre en mindre mængde en den påtrykte kapacitet, ja så må der jo være noget galt.

Steen Poulsen

Tror ikke du kan se det på kapaciteten, det ville være for amatøragtigt. Alle "Smart" diske har jo et relocate område, mon ikke de misbruge det, det indgår jo ikke i diskens kapacitet.

Men tror nu ikke at denne mallware kan sprede sig til diske som anvendes i RAID, så mon ikke man er sikker i et datacenter ?? - Samt, jeg tvivler på at den kan påvirke alle platforme/filsystemer - så mon ikke det skal være MS Windows med FAT eller NTFS... :-D

Ole Tange Blogger

Det burde være muligt at sikre sig sådan: Benyt inficerede diske i en filserver. Krypter data på klienten, så kun krypterede data når frem til filserveren. Beskyt filsereren med en firewall, så den ikke kan angribe og inficere andre maskiner.

Næsten lige så godt burde være at benytte full disk encryption. Dog må der være en fare, hvis man booter fra disken: Her kunne man få leveret en boot program, som inficerer maskinen.

Ved vi om malwaren også kan bo på flashdiske?

Steen Poulsen

Altså "Firmware" i sig selv, kan ikke sprede noget som helst i host computeren, firmwaren er hardware specifik software normalt skrevet til at styre disk/controller mv. så uanset hvad, skal firmwaren udvides til, at rette "noget" data på disken, som den nødvendigvis må "forstå" altså rettet mod et/flere bestemt filsystem, med tilhørende OS. Derfor kan jeg heller ikke se hvordan RAID, hvor man spreder sammenhængende data over flere diske, skal kunne rammes. Med mindre mallwaren er mindre end en "strip" (typ. 64Kb) -

Nej, der må være store begrænsninger i hvad det kan udføre, og kun på bestemte platforme..

Hmm, vi bliver nød til at køre med Komprimeret eller Krypteret filsystem, så vil sådan en firmware patch være ubrugelig !!

Peter Kruse

Problemet er ikke så meget at firmwaren ikke kan genoverskrives, men snarere hvordan man detekterer at kompromitteringen er sket.

Derudover er det måske relevant at vide, at det kun er udvalgt hardware/firmware som understøttes af "nls_933w.dll". 12 producenter ialt. Jeg mener det fremgår af Kasperskys åbne rapport.

Steffen Postas

Det er fuldstændig korrekt, og det kan være tæt på umuligt at anskaffe informationen omkring dette. På trods af førnævnte er der dog flere der med success har anskaffet sig adgang til forskellige harddiskes firmware og er istand til at overskrive det med andet. Problematikken ligger mere i at få udviklet noget ikke-kompromiteret firmware som man kan flashe til disken, og det kan desværre være at større problem. Forhåbentlig noget der kan være løst i stil med eksempelvis Coreboot, men dog ikke på et forbrugerbasis da en sådan firmware flashing er knap så let tilgængelig som et BIOS/UEFI flash.

Peter Kruse

Det skal måske også nævnes at det udelukkende er "GrayFish" som er i stand til at deponere flash modulet, så payloaden kan suppleres baseret på hardware typen. Deponeringen sker efter kommunikation med C&C serveren men det underlige er at Kaspersky siger at de kun har fundet "in the wild" eksempler på offline systemer. Den omstændighed er fortsat ubesvaret.

Indtil videre tyder meget på at dette er en snedig måde at skrive krypteret følsomt data til et område som senere kan udlæses snarere end at fastholde maskinen i en "inficeret" state. Et eksempel kan være en grænseinspektion af hardwaren som ved indrejse til et land kan kræve at inspicere maskinen/enheden. Det vil behændigt omgå alle anbefalinger for harddisk wipes. Det er næppe det sidste vi hører til dette.

Thue Kristensen

Problemet er ikke så meget at firmwaren ikke kan genoverskrives, men snarere hvordan man detekterer at kompromitteringen er sket.

Problemet også at firmware updateringsmekanismen tilsyneladende ikke bruger integriteteskontrol med signering, hvilket gør den oprindelige kompromittering så meget lettere. Det ville nok være det første sted jeg ville sætte ind.

Tobias Skytte

Jeg tror at jeg måske ikke gjorde det helt klart så jeg forsøger lige igen.

En 1TB disk har 1.000.000.000.000 bytes ledig plads. Når den formateres ryger der en kendt mængde bytes til det (MBR osv.), lad os kalde det X bytes. Der burde så være plads til 1TB - X = Y bytes.

Hvis vi så prøver at skrive Y bytes til disken, så hvis firmware lyver omkring hvor meget plads der er tilrådighed, ja så vil det ikke være muligt at gøre skrive-operationen færdig, og ergo forefindes der et skjult område på disken og ergo er der malware installeret.
Hvis der KAN skrives Y bytes, så er der ikke noget hemmeligt område og hvor skal malwaren så gemme sine data?

Det er muligt (for malwaren) bruge området der normalt bruges til at re-allokere bad sectors, men dette kan næsten garanteret også detekteres og det er ikke særligt stort så også mindre nyttigt for malwaren.

Christoffer Kelm Kjeldgaard

Hvis vi så prøver at skrive Y bytes til disken, så hvis firmware lyver omkring hvor meget plads der er tilrådighed, ja så vil det ikke være muligt at gøre skrive-operationen færdig

Kinesiske producenter af flash hukkommelse har udnyttet dette i årevis. Eksempelvis har jeg selv haft en enhed, som rapporterer at der er 8 GB hukommelse på enheden, men den faktiske hukommelse er lavere, eksempelvis 2 GB. Firmwaren melder blot tilbage at alt er godt, og alle dine 8 GB er skrevet til disken. Det er kun når du forsøger at læse indholdet at den går gal, og melder fejl. Det her var for 5 år siden lavet af folk for meget små midler. Hvad tror du NSA kan gøre med en milliard USD? Firmwaren kunne eventuelt tage højde for dette ved at slette det mindst brugte data, og rapportere det som data corruption / bad sectors, og ingen ville vide at disken var kompromitteret.

Kjeld Flarup Christensen

Den her er godt nok svær at udnytte. For at kunne sende fortrolige data retur, skal malwaren ud i OS og eksekvere kode, helst uden at ødelægge noget. Og skal der opsamles data skal dette også helst ske på OS niveau, da flere og flere har data liggende i skyen hvilket er et mere sikkert sted. Naturligvis kan man altid finde fragmenter, men det er svært at være sikker.

Grundlæggende skal man altså kende ofrets OS, meget eksakt måske helt ned til hvilken kompilering der er tale om for at kunne udnytte det her. Hvis så der anvendes disk kryptering, så stiger kompleksiteten endnu mere.

At det ikke kan detekteres er derfor på en eller anden måde ikke korrekt. For at aktivere sig selv, skal den sende kode op til CPU'en til eksekvering. Hvis man derfor installerer et OS, så burde en kontrol læsning inklusive alle boot loader sektioner kunne afsløre en malware.

Det her flytter i hvertfald best practices en hel del.
Nu er der blevet peget en del ad NSA her, men hvor mange harddiske laves der egentligt ikke i Kina, det var jo mest oplagt at malwaren allerede var lagt ind fra fabrikken.

Derfor er det jo heller ikke nok at kræve nye sikkerhedsmekanismer i de harddiske man køber, hvis fabrikken er med på legen. Det samme med de Bios'er der ligger på motherboards, hvorfor ikke designe et motherboard med indbygget bagdør. Mener det har været oppe før også.

Brian Hansen

Hvis vi så prøver at skrive Y bytes til disken, så hvis firmware lyver omkring hvor meget plads der er tilrådighed, ja så vil det ikke være muligt at gøre skrive-operationen færdig, og ergo forefindes der et skjult område på disken og ergo er der malware installeret.
Hvis der KAN skrives Y bytes, så er der ikke noget hemmeligt område og hvor skal malwaren så gemme sine data?


Fuldstændigt ligemeget. Du bruger den inficerede firmware til at udføre dine tests, den skal nok raportere det tilbage som dine checks gerne vil se.
Det er list ligesom den mest udbredte måde at knække Win7 aktiveringer på:
Der intalleres et rootkit / kernelmode driver, der fanger Windows' kald mod BIOS, for at undersøge om du kører en OEM licens. Rootkit melder retur med et serienr fra en ægte OEM maskine, Windows aktiveres.

Lars Bjerregaard

Der er intet utroværdigt i det Kaspersky har offentliggjort.

Andre har vist at angrebet kan lade sig gøre for et par år siden:

http://spritesmods.com/?art=hddhack


Set også "BadUSB" m.m. Firmware angreb har været undervejs i en del år. Ikke noget nyt. Det nye er, så vidt jeg kan se, at det første bevis nu er fundet på at det er "weaponized", og er i anvendelse.

Jarnis Bertelsen

Problemet er at man bruger den firmware der ligger på disken til at opdatere den firmware der ligger på disken


Burde det ikke være muligt at lave en ny firmware, der har et kendetegn, som den inficerede version ikke kan tage højde for. Det kunne fx være en specifik værdi, som funktionen til at læse firmwarenummeret skulle rapportere tilbage. Det må naturligvis ikke kunne læses direkte af den inficerede firmware (det ville være for let at udgive sig for at være den nye version). Men den nye version kunne tilføje, en kode fra et andet sted i firmwaren, som ikke var kendt da den inficerede version blev lavet. Alternativt kunne et ellers ugyldigt funktionskald (til en funktion med en parameter) ændres til at give et andet resultat end forventet.

Så vidt jeg kan se svagheden ved metoden er det
a) Et våbenkapløb, da en ny version af malwaren kunne emulere alle de tiltag, der havde været brugt på det tidspunkt den blev lavet.
b) Hvis malwaren kun fungerer som en wrapper omkring den nyinstallerede firmware, kan den give det forventede svar, på samme måde som et man-in-the-middle angreb gør i andre sammenhænge. Måske er det netop i metoder til at modstå MitM angreb, man skal hente inspiration til at detektere malwaren.

Michael Cederberg

Hvis man har nogen hemmeligheder, så skal man kun bruge hardware og software som man stoler på inden for ens sikkerhedsperimeter. I praksis betyder det for danskere en open-source CPU, open-source network controller, open-source firmware til hardisk/video/etc, open-source software, etc. Og gerne også open-source network switche, routere, etc.

Ikke fordi jeg er open-source fanatiker, men fordi det realistisk er den eneste mulighed vi har for at få fat i hardware og software vi bare marginalt stoler på. Selvom amerikanerne (og briterne) er vores gode venner så skal man være ret naiv for at tro at NSA ikke også spionerer på os og at det til tider ikke er til vores fordel.

Log ind eller Opret konto for at kommentere