[geschützt] NSA Hides Spying Backdoors into Hard Drive Firmware

H

Helios

Active member
Themenstarter
Registriert
23 Sep. 2009
Beiträge
12.633
Starker Toback!!!

NSA Hides Spying Backdoors into Hard Drive Firmware

Russian cyber-security company Kaspersky Labs exposed a breakthrough U.S. spying program, which taps into the most widely proliferated PC component - hard drives. With the last 5 years seeing the number of hard drive manufacturing nations reduce from three (Korean Samsung, Japanese Hitachi and Toshiba, and American Seagate and WD) to one (American Seagate or WD), swallowing up Japanese and Korean businesses as US-based subsidiaries or spin-offs such as HGST, a shadow of suspicion has been cast on Seagate and WD.

According to Kaspersky, American cyber-surveillance agency, the NSA, is taking advantage of the centralization of hard-drive manufacturing to the US, by making WD and Seagate embed its spying back-doors straight into the hard-drive firmware, which lets the agency directly access raw data, agnostic of partition method (low-level format), file-system (high-level format), operating system, or even user access-level. Kaspersky says it found PCs in 30 countries with one or more of the spying programs, with the most infections seen in Iran, followed by Russia, Pakistan, Afghanistan, China, Mali, Syria, Yemen and Algeria.

Kaspersky claims that the HDD firmware backdoors are already being used to spy on foreign governments, military organizations, telecom companies, banks, nuclear researchers, the media, and Islamic activities. Kaspersky declined to name the company which designed the malware, but said that it has close ties to the development of Stuxnet, the cyber-weapon used by NSA to destabilize Iran's uranium-enrichment facilities.

Kaspersky claims that the new backdoor is perfect in design. Each time you turn your PC on, the system BIOS loads the firmwares of all hardware components onto the system memory, even before the OS is booted. This is when the malware activates, gaining access to critical OS components, probably including network access and file-system. HDD firmware is the second most valuable real-estate for hackers, after system BIOS.

Both WD and Seagate denied sharing the source-code of their HDD firmware with any government agency, and maintained that their HDD firmware is designed to prevent tampering or reverse-engineering. Former NSA operatives stated that it's fairly easy for the agency to obtain source-code of critical software. This includes asking directly and posing as a software developer. The government can seek source-code of hard drive firmware by simply telling a manufacturer that it needs to inspect the code to make sure it's clean.

What is, however, surprising is how tampered HDD firmware made it to HDD manufacturing. Seagate and WD have manufacturing facilities in countries like Thailand and China, which are high-security zones to prevent intellectual property theft or sabotage. We can't imagine tampered firmware making it to production drives without the companies' participation.
Zum Vergrößern anklicken....

Source: Reuters via Yahoo
 
Zuletzt bearbeitet:
Die Hacker sollen außerdem in der Lage sein, Computer auszuspähen und teilweise zu kontrollieren, die nicht an das Internet angeschlossen sind.
Zum Vergrößern anklicken....

weiß einer wie so etwas gehen soll, bzw. was gemeint ist ?
 
oezix schrieb:
weiß einer wie so etwas gehen soll, bzw. was gemeint ist ?
Zum Vergrößern anklicken....

-> http://de.wikipedia.org/wiki/Stuxnet#Infektionsweg

Um sein Ziel zu erreichen, muss Stuxnet auf Rechner gelangen, die (wahrscheinlich) mit der anvisierten Anlagensteuerung verbunden sind oder werden. Dazu wurden vier während des Einsatzes unveröffentlichte Windows-Sicherheitslücken (Zero-Day-Exploits) missbraucht. Davon betroffen sind die 32-Bit-Betriebssysteme Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7. Stuxnet versucht, sich auf einem der genannten Systeme zu installieren, sobald ein USB-Speichermedium angeschlossen wird. Dazu wird das fehlertolerante Parsen der autorun.inf durch Windows ausgenutzt. Diese Datei enthält sowohl den eigentlichen Schadcode als auch an ihrem Ende gültige Autorun-Informationen, nach der die Datei eine ausführbare EXE-Datei ist. Auch wenn die Autostart-Option abgeschaltet wurde, steht im Kontextmenü eine Open-Funktion zur Verfügung, die das manuelle Ausführen des Schadcodes erlaubt.[SUP][T 12][/SUP]
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
think_pad schrieb:
Nicht nur das, sondern ein Programmierer kann auch seinen Arbeitsplatz sichern, in dem einen Bug einbaut, der z.B. nur bei jedem 1000. User auftritt, und der dann irgendwann per Update korrigiert werden muss. Von wem wohl? Und wie sichert man sich als Programmierer die Arbeit für das nächste Update...?
Zum Vergrößern anklicken....

Naja, es gibt einen Wettbewerb für Bugdoors, aber den normalen Entwicklern zu unterstellen, sie würden Fehler absichtlich implementieren, ist eine grobe Unterstellung und schädigt deren Ruf!
Vielleicht überdenkst du deine Einstellung nochmal.

http://underhanded.xcott.com/
 
sys. schrieb:
Naja, es gibt einen Wettbewerb für Bugdoors, aber den normalen Entwicklern zu unterstellen sie würden Fehler absichtlich implementieren, ist eine grobe Unterstellung und schädigt deren Ruf! Vielleicht überdenkst du deine Einstellung nochmal.
Zum Vergrößern anklicken....

Es hat nichts mit der Einstellung zu tun, sondern mit der Gründlichkeit, mit der ein Programmierer sein Programm - oft unter Zeitdruck - planen und realisieren muss. Dass es keinen 100% sicheren Treiber oder eine solche Software gibt, liegt auf der Hand. Der Programmierer ist auch bloß ein Mensch, er macht Fehler, und prüft z.B. ein bestimmtes Szenario nicht richtig, wie ja auch Hardware-Entwickler massive Fehler machen, in dem sie für nVidia-Grafikkarten eine falsche Konstruktion und die falsche Zinnmischung verwendeten.

Sie müssen also keine Fehler absichtlich machen, die schleichen sich ein. Im Übrigen kann auch der Arbeitgeber ein großes Interesse daran haben, dass der hochqualifizierte Programmierer so lange an der Software oder dem Treiber arbeitet und Updates erstellt, und nicht zur Konkurrenz wechselt, so lange keine Kundenbeschwerden kommen oder ein Imageschaden für die Firma entsteht.
 
Zuletzt bearbeitet:
@think_pad das mit dem USB-Speichermedium und schadcode ist mir bekannt, aber wie kann man ein Computer ausspähen und teilweise kontrollieren ohne einen Internet-Anschluss, ich nehme an das WLAN und Bluetooth wegen dem Reichweite nicht in Frage kommen oder ist auszuspähen und kontrollieren in nächster nähe gemeint gewesen ?
 
Zuletzt bearbeitet:
Das las sich in deinen vorherigen Posts aber ganz anders...

Jedes elektronische Gerät, von der ältesten Digitaluhr bis hin zum Super-Server, hat einen Urloader und eine Backdoor, mit der man notfalls bis in das Herz bzw. den Kernel des Gerätes vordingen kann. Man kann die Backdoor sogar als den Heiligen Gral der Hardware betrachten, auch die Informatik hat also ihren Mythos.
Zum Vergrößern anklicken....
Nicht nur das, sondern ein Programmierer kann auch seinen Arbeitsplatz sichern, in dem einen Bug einbaut, der z.B. nur bei jedem 1000. User auftritt, und der dann irgendwann per Update korrigiert werden muss. Von wem wohl? Und wie sichert man sich als Programmierer die Arbeit für das nächste Update...?
biggrin2.png

Zum Vergrößern anklicken....
Und damit sag ich gute Nacht. :)
 
Zuletzt bearbeitet:
oezix schrieb:
@think_pad das mit dem USB-Speichermedium und schadcode ist mir bekannt, aber wie kann man ein Computer ausspähen und teilweise kontrollieren ohne einen Internet-Anschluss, ich nehme an das WLAN und Bluetooth wegen dem Reichweite nicht in Frage kommen oder ist auszuspähen und kontrollieren in nächster nähe gemeint gewesen ?
Zum Vergrößern anklicken....

Man kann z.B. auf jedem Computer einen Keylogger und einen Screenshot-Schnüffler installieren, die Daten sammeln, zippen und z.B. in einer sys32.dll oder temp.jpg verstecken, und bei irgendeiner Gelegenheit (Reparatur des Gerätes, WLAN, Bluetooth mit dem Handy oder im Auto, USB-Stick eines "guten Freundes" oder der Geliebten, präparierter DVB-T-Stick, oder auch nur einer präparierten externen Tastatur oder Funkmaus) auslesen bzw. auslesen lassen. Das geht leichter, als man denkt...
 
Zuletzt bearbeitet:
oezix schrieb:
@think_pad das mit dem USB-Speichermedium und schadcode ist mir bekannt, aber wie kann man ein Computer ausspähen und teilweise kontrollieren ohne einen Internet-Anschluss, ich nehme an das WLAN und Bluetooth wegen dem Reichweite nicht in Frage kommen oder ist auszuspähen und kontrollieren in nächster nähe gemeint gewesen ?
Zum Vergrößern anklicken....

Laut der Dokumentation von Kaspersky werden gesammelte Daten, u.a. auch über die Netzwerkinfrastruktur in einem versteckten Speicherbereich des USB-Sticks abgelegt. Wird dieser Stick dann an einen PC mit Internetzugang gesteckt, der für den verwendeten Exploit anfällig ist, werden die gesammelten Daten an C&C-Server geschickt und ggf. von dort neue Befehle entgegengenommen, die wieder auf dem Stick gespeichert werden. Wird der Stick wieder an das ursprüngliche System angeschlossen, werden die Befehle ausgeführt.
 
Kaspersky Lab hat nun alle Signaturen für sämtliche Bestandteile der in der Ausgangspost erwähnten Malware bereit gestellt. Zusammen mit der Programmkontrolle wird ein infiziertes System nun erkannt.

Eine bereits kompromittierte HDD würde durch den stattfindenden Root-/Bootkitscan ebenso detektiert werden.

Code: 
Backdoor.Win32.Laserv
Backdoor.Win32.Laserv.b
Exploit.Java.CVE-2012-1723.ad
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.Generic
HEUR:Trojan.Java.Generic
HEUR:Trojan.Win32.DoubleFantasy.gen
HEUR:Trojan.Win32.EquationDrug.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Win32.GrayFish.gen
HEUR:Trojan.Win32.TripleFantasy.gen
Rootkit.Boot.Grayfish.a
Trojan-Downloader.Win32.Agent.bjqt
Trojan.Boot.Grayfish.a
Trojan.Win32.Agent.ajkoe
Trojan.Win32.Agent.iedc
Trojan.Win32.Agent2.jmk
Trojan.Win32.Diple.fzbb
Trojan.Win32.DoubleFantasy.a
Trojan.Win32.DoubleFantasy.gen
Trojan.Win32.EquationDrug.b
Trojan.Win32.EquationDrug.c
Trojan.Win32.EquationDrug.d
Trojan.Win32.EquationDrug.e
Trojan.Win32.EquationDrug.f40
Trojan.Win32.EquationDrug.g
Trojan.Win32.EquationDrug.h
Trojan.Win32.EquationDrug.i
Trojan.Win32.EquationDrug.j
Trojan.Win32.EquationDrug.k
Trojan.Win32.EquationLaser.a
Trojan.Win32.EquationLaser.c
Trojan.Win32.EquationLaser.d
Trojan.Win32.Genome.agegx
Trojan.Win32.Genome.akyzh
Trojan.Win32.Genome.ammqt
Trojan.Win32.Genome.dyvi
Trojan.Win32.Genome.ihcl
Trojan.Win32.Patched.kc
Trojan.Win64.EquationDrug.a
Trojan.Win64.EquationDrug.b
Trojan.Win64.Rozena.rpcs
Worm.Win32.AutoRun.wzs


Update: Securelist - Equation: The Death Star of Malware Galaxy
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben