Equation网络间谍开发出”坚不可摧”的恶意软件–但还不用过于恐慌

卡巴斯基GReAT团队于近期发布了针对Equation网络间谍小组活动的研究报告,其中揭示了大量所谓的”技术奇迹”。该历史悠久且技术强大的黑客小组开了一系列复杂的”可植入”恶意软件,但其中最有趣的发现是该恶意软件能够对受害人的硬盘进行重新编程,进而隐藏这些”植入病毒”因此几乎”坚不可摧”。 作为计算机安全领域期待已久的”恐怖故事”之一 –永远存在于计算机硬盘且无法被清除的病毒数十年来被认为是一段”都市传奇”,但似乎人们花费了数百万美元只是为了将其变为现实。有些新闻报道煞有其事地宣称Equation黑客小组所开的这一恶意软件能让网络黑客”窃听全球大多数计算机”。然而,我们只是想尽可能地还原事实的真相。所谓能够”窃听全球大多数计算机“就像熊猫能在马路上走路一样不现实。 首先,让我们解释一下什么是”对硬盘固件重新编程”。通常一块硬盘由两个重要部件组成–存储介质(传统硬盘使用磁盘,而固态硬盘则采用闪存芯片)和微芯片,而后者则真正控制对硬盘的读写以及许多服务程序,例如:错误检测和修正。由于这些服务程序数量众多且相当复杂,因此从技术上说,一块芯片就好比是一台小型计算机,用于处理各种复杂的程序。芯片的程序被称为固件,而硬盘供应商可能不时需要对其进行升级更新:修正已发现的错误或改善性能。 而这一机制恰恰被Equation黑客小组所滥用,从而能够将其自己的固件下载到12种不同类型(按不同供应商/差异区分)的硬盘。修改后固件的功能依然不得而知,但因此计算机上的恶意软件却获得了在硬盘特定区域读写数据的能力。我们只能假设这一区域完全对操作系统甚至特定合法软件隐藏。而这一区域的数据即使硬盘格式化后也依然可能幸存,并且从理论上说固件能通过从一开始感染新安装的操作系统进而对硬盘引导区进行再感染。为了简化之后的工作,固件都是依靠自身检查和重新编程,因此就无法检验固件完整性或可靠地将固件重新上传至计算机。换句话说,受感染的硬盘固件根本无法被检测出,因此也就”坚不可摧”了。最简单和省钱的办法是将可能被感染的硬盘丢弃,重新买块新的。 但是,不用急着去找螺丝刀–我们并不认为这一终极感染能力会成为主流。就算Equation黑客小组可能也只用过几次而已,因此受害人系统存在硬盘感染模块的情况依然屈指可数。首先,对硬盘重新编程相比写入而言要复杂得多,可以将Windows软件作为例子。每一块硬盘的模块都是独一无二且造价相当昂贵,此外要编写出一个替代的固件也需要耗费相当长的时间和精力。黑客首先必须得到硬盘供应商的内部文档(几乎不可能),购买一些同一型号的硬盘,编写和测试所需的功能并将恶意程序植入现有固件,与此同时还需要保持其原先的功能。这是一个浩大的工程,需要花费数月进行研发并投入数百万美元的资金。因此在一些用于犯罪的恶意软件或大部分的有针对性攻击中,几乎不太可能使用此类隐藏技术。此外,固件开发显然只能小范围进行,无法简单地大规模进行。许多硬盘厂商每月都会针对多款硬盘发布固件,新型号产品也层出不穷,因此要黑客入侵每一款型号的固件对于Equation以及其他所有黑客小组而言几乎不可能实现(也没有这个必要)。 因此,真实的情况是–感染硬盘恶意软件不再是传奇了,但对于大多数用户而言不存在任何风险。千万不要轻易丢弃自己的硬盘,除非你是在伊朗的核工业工作。但却需要对一些我们已老生常谈的风险多加注意,比如因密码薄弱或反病毒软件长久未更新而导致黑客入侵。

卡巴斯基GReAT团队于近期发布了针对Equation网络间谍小组活动的研究报告,其中揭示了大量所谓的”技术奇迹”。该历史悠久且技术强大的黑客小组开了一系列复杂的”可植入”恶意软件,但其中最有趣的发现是该恶意软件能够对受害人的硬盘进行重新编程,进而隐藏这些”植入病毒”因此几乎”坚不可摧”。

作为计算机安全领域期待已久的”恐怖故事”之一 –永远存在于计算机硬盘且无法被清除的病毒数十年来被认为是一段”都市传奇”,但似乎人们花费了数百万美元只是为了将其变为现实。有些新闻报道煞有其事地宣称Equation黑客小组所开的这一恶意软件能让网络黑客”窃听全球大多数计算机”。然而,我们只是想尽可能地还原事实的真相。所谓能够”窃听全球大多数计算机“就像熊猫能在马路上走路一样不现实。

首先,让我们解释一下什么是”对硬盘固件重新编程”。通常一块硬盘由两个重要部件组成–存储介质(传统硬盘使用磁盘,而固态硬盘则采用闪存芯片)和微芯片,而后者则真正控制对硬盘的读写以及许多服务程序,例如:错误检测和修正。由于这些服务程序数量众多且相当复杂,因此从技术上说,一块芯片就好比是一台小型计算机,用于处理各种复杂的程序。芯片的程序被称为固件,而硬盘供应商可能不时需要对其进行升级更新:修正已发现的错误或改善性能。

而这一机制恰恰被Equation黑客小组所滥用,从而能够将其自己的固件下载到12种不同类型(按不同供应商/差异区分)的硬盘。修改后固件的功能依然不得而知,但因此计算机上的恶意软件却获得了在硬盘特定区域读写数据的能力。我们只能假设这一区域完全对操作系统甚至特定合法软件隐藏。而这一区域的数据即使硬盘格式化后也依然可能幸存,并且从理论上说固件能通过从一开始感染新安装的操作系统进而对硬盘引导区进行再感染。为了简化之后的工作,固件都是依靠自身检查和重新编程,因此就无法检验固件完整性或可靠地将固件重新上传至计算机。换句话说,受感染的硬盘固件根本无法被检测出,因此也就”坚不可摧”了。最简单和省钱的办法是将可能被感染的硬盘丢弃,重新买块新的。

但是,不用急着去找螺丝刀–我们并不认为这一终极感染能力会成为主流。就算Equation黑客小组可能也只用过几次而已,因此受害人系统存在硬盘感染模块的情况依然屈指可数。首先,对硬盘重新编程相比写入而言要复杂得多,可以将Windows软件作为例子。每一块硬盘的模块都是独一无二且造价相当昂贵,此外要编写出一个替代的固件也需要耗费相当长的时间和精力。黑客首先必须得到硬盘供应商的内部文档(几乎不可能),购买一些同一型号的硬盘,编写和测试所需的功能并将恶意程序植入现有固件,与此同时还需要保持其原先的功能。这是一个浩大的工程,需要花费数月进行研发并投入数百万美元的资金。因此在一些用于犯罪的恶意软件或大部分的有针对性攻击中,几乎不太可能使用此类隐藏技术。此外,固件开发显然只能小范围进行,无法简单地大规模进行。许多硬盘厂商每月都会针对多款硬盘发布固件,新型号产品也层出不穷,因此要黑客入侵每一款型号的固件对于Equation以及其他所有黑客小组而言几乎不可能实现(也没有这个必要)。

因此,真实的情况是–感染硬盘恶意软件不再是传奇了,但对于大多数用户而言不存在任何风险。千万不要轻易丢弃自己的硬盘,除非你是在伊朗的核工业工作。但却需要对一些我们已老生常谈的风险多加注意,比如因密码薄弱反病毒软件长久未更新而导致黑客入侵。

世纪最大劫案: 黑客盗用十亿美元

高级持续性威胁(APT)是信息安全专家常常挂在嘴边的话题,这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说,这种威胁似乎与己无关。 对于公众来说,最广为人知的一些攻击类似于间谍小说中的情节。直到最近,APT还不是人们关注的话题,因为绝大多数APT针对的是政府机构,其中所有调查细节高度保密,并且实际造成的经济影响难以估计,原因显而易见。 然而,今时不同往日:APT已将触角伸入商业领域,更准确的说是银行业。结果可想而知:以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网,黑客利用定向钓鱼邮件来诱导用户打开邮件,借机使用恶意软件感染电脑。一旦成功,黑客就会在用户电脑上安装一扇后门,后门基于Carberp银行恶意软件源码,此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后,黑客会以此电脑作为入口点,探测银行内网并感染其他电脑,目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后,黑客将研究银行使用的金融工具,并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后,为了完成行动,黑客会根据具体情况定义最为便利的方法来盗取资金,他们或者使用电汇转帐,或者建立一个假的银行账户,利用钱骡直接取现,或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月,从感染电脑的第一天开始算,一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元,即便分别来看,此金额也相当惊人。假设有数十家,甚至上百家金融机构因APT攻击导致资金被盗,累计总损失很有可能达到10亿美元,令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前,Carbanak蔓延范围不断扩大,目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息,Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间,攻击高峰时间是2014年6月。 很明显,除非被捕,否则黑客绝不会就此罢手。目前,众多国家网络防御中心和多家国际机构,包括欧洲刑警组织(Europol)和国际刑警组织在内(Interpol)都展开了调查行动。卡巴斯基全球研究分析小组(GReAT)也在其中贡献了自己的一份力量。 如何防御这种威胁? 下面要告诉卡巴斯基用户一些好消息: 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本:Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平,我们建议您启用主动防御模块,卡巴斯基的所有产品版本中都含有此模块。 此外,还有一些小贴士,可保护您不受这种及其他安全威胁: 绝不打开任何可疑电子邮件,尤其是带附件的邮件。 定期更新使用的软件。例如,这次攻击行动利用的并不是零日漏洞,而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测:此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息,请查看Securelist上的相关博文。

提示