NSA 入侵硬碟、用 Linux 成唯一防禦手段

安全公司 Kaspersky 在該公司的安全分析師高峰會上發表文件,揭示美國國家安全局( NSA ) 透過 Windows 和 Mac OS X,在硬碟韌體植入間諜程式,目前唯一的防禦手段是使用 Linux 。2015021801nsa

Kaspersky Lab 的全球研究與分析小組(Global Research and Analysis Team, GReAT),多年來監控發動全球網路攻擊背後的60多個進階威脅組織,發現了一個技術高明程度超越其他人的駭客組織,活躍近20年。Kaspersky Lab 將它取名為 The Equation Group,因為經常透過異常複雜的演算法組織攻擊。為了感染受害者系統,The Equation Group 發展了極強大的木馬「軍火庫」,至少包括 EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等數個間碟工具。受害者遍及伊朗、俄羅斯、敍利亞、阿富汗、阿拉伯聯合大公國、香港、英、美等30餘國,包括500個以上的金融、核能、電信等企業及軍方與政府單位,感染系統涵括伺服器、網域控制器、資料倉儲、網站等。基於程式的自我毁滅機制,安全公司推斷受害者其實只是冰山一角,實際數目可能高達上萬。The Equation Group 的木馬「軍火庫」最厲害的是可以感染硬碟韌體,這是 Kaspersky Lab「從來都沒發現過的新型攻擊」。

惡意程式 Equationdrug 及 Grayfish,將10多種市售硬碟韌體重新編程,包括 Seagate、IBM、WD、三星等。背後目的可能有兩個,一是植入惡意程式後,能避免因磁碟重新格式化及重裝作業系統而移除掉,二是暗中竊取資訊並傳送給駭客。研究人員指出這可能是 The Equation Group 最強大的工具,也是已知首個感染硬碟的手法。此等間碟程式透過 Windows 入侵電腦重寫硬碟韌體,目前收集到的樣本中雖沒有發現 Mac OS X 受到感染,但從截聽 C&C 取得受害者的訊息中,發現有部分訊息來自 Mac OS X,Linux 暫時沒有被入侵的記錄。由於 The Equation Group 的間碟程式主要為 Windows 而設計,使用的是 Windows 的零日攻擊漏洞,目前唯一有效的防禦手段是使用 Linux,條件是在感染木馬「軍火庫」之前、即在硬碟全新的狀態下安裝 Linux。在系統被感染後才將作業系統改為 Linux 是沒用的,因為硬碟韌體已經被改寫了。

Karspersky並未說明 The Equation Group 強大能力的背後主謀是誰,但卻指出其種種手法,暗示可能與 NSA 的間諜活動有關。2009年 The Equation Group 在美國休士頓攔截郵寄途中的光碟片,並植入用於駭客行為的惡意程式,再寄給原收件單位。這手法和 NSA 半路攔截且感染思科網路設備的手法很像。Karspersky 分析 The Equation Group 程式函式庫中不小心洩露的關鍵字,發現到外掛鍵盤側錄程式Grok,這出現在2013年媒體報導NSA用於感染全球數百萬電腦的攻擊工具中。另外,STRAITACID 也與 NSA 的 Tailored Access Operations 使用的 STRAITBIZARRE 很像,它可作為「用後即丟」的攻擊工具。Kaskpersky研究人員並發現,The Equation Group 和其他蠕蟲攻擊如 Stuxnet 和 Flame 之間關聯性。例如 Stuxnet 攻擊中的一些「零號受害者」(Patient Zero) 感染了 The Equation Group 的惡意程式,可能是其惡意程式被用於 Stuxnet 的程式籌載中。此外加密籌載(payload)的行為也類似Stuxnet。Stuxnet 和Flame 分別是 NSA 和以色列及 NSA、中情局(CIA)在背後操刀發動的駭客行動。近年來Stuxnet已被多次發現鎖定伊朗,Stuxnet蠕蟲攻擊伊朗的時間點最早可追溯到2005年,NSA 對此並未向媒體做出任何評論。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *