KASPERSKY INFORMA: ¿Cómo funciona el hackeo del firmware de los discos duros y por qué es tan preocupante ?

Una de las partes más impactantes de la red de espionaje “EQUATION GROUP” descubierto recientemente es su misterioso sistema diseñado para reprogramar, o volver a actualizar, con código malicioso, el firmware de un disco duro de ordenador

Los investigadores de Kaspersky que lo descubrieron, dijeron que su capacidad de cambiar el firmware de un disco duro “supera cualquier otra cosa” que jamás habían visto.

Creen que la herramienta de hackeo es un producto de la NSA, ya que el poder cambiar el firmware, da a los atacantes el control del sistema de una manera sigilosa y persistente, incluso a través de las actualizaciones de software. El módulo, llamado [b]”nls_933w.dll”[/b], es el primero de su tipo que se encuentra en la naturaleza y se utiliza tanto con el Equation Grup y plataformas de espionaje GrayFish

También tiene otra capacidad: Crear espacio de almacenamiento invisible en el disco duro para ocultar los datos robados del sistema, que los atacantes podrán recuperar más tarde. Esto permite a los espías el cifrado de dicha parte del disco reservada a Equation Group, mediante la extraccion de los documentos que quieren apoderarse de las zonas que no son cifradas.
Hasta ahora Kaspersky ha descubierto 500 víctimas de dicho grupo, pero sólo cinco de ellas tenía el módulo de firmware intermitente en sus sistemas. Dicho módulo intermitente es probable que esté reservado para sistemas importantes que presentan desafíos especiales de vigilancia. Costin Raiu, director de Global Research y Analysis Team de Kaspersky, cree que se trata de computadoras de alto valor que no están conectados a Internet y están protegidos con cifrado de disco.

Esto es lo que se sabe sobre el módulo de intermitente de firmware.

¿Cómo funciona?

Los Discos duros tienen un controlador, esencialmente un mini-ordenador, que incluye un chip de memoria o memoria flash ROM donde reside el código de firmware para el funcionamiento de la unidad de disco duro.

Cuando una máquina está infectada con Equation Group o GrayFish, el módulo de firmware intermitente se introduce en el sistema y llega a un servidor de comando para obtener el código de carga útil que a continuación muestra el firmware, reemplazando el firmware existente con uno malintencionado. Los investigadores descubrieron dos versiones de dicho módulo intermitente: una que parece haber sido compilada en 2010 y se utiliza con Equation Group, y otro con fecha de compilación 2013 que se utiliza con GrayFish.

El firmware troyanizado permite a los atacantes permanecer en el sistema, incluso posteriormente a actualizaciones de software. Si una víctima, pensando que su equipo está infectado, limpia el sistema operativo del ordenador y lo vuelve a instalar para eliminar cualquier código malicioso, el código de firmware malicioso permanece intacto. A continuación, puede llamar al servidor de comando para restaurar todos los otros componentes maliciosos que fueron eliminados del sistema.

Incluso si el propio firmware se actualiza con una nueva versión del proveedor, el código del firmware malicioso todavía puede persistir porque algunas actualizaciones de firmware reemplazan partes únicas del firmware, es decir, las partes maliciosas pueden no ser sobrescritas con la actualización. La única solución para las víctimas es a prescindir de este disco duro y partir de cero con uno nuevo.

El ataque funciona porque el firmware nunca fue diseñado pensando en la seguridad. Los fabricantes de discos duros no firman criptográficamente el firmware que instalan en dichas unidades como hacen los proveedores de software. Tampoco los diseños de disco duro tienen la autenticación integrada en comprobar si hay firmware firmado. Esto hace que sea posible que alguien cambie el firmware. Y dicho firmware es el lugar perfecto para ocultar el malware porque escáneres antivirus no examinan. Tampoco hay manera fácil para que los usuarios lean el firmware y comprueben manualmente si ha sido alterado.

Con el módulo intermitente del firmware se puede reprogramar los firmware de más de una docena de diferentes marcas de discos duros, incluyendo IBM, Seagate, Western Digital y Toshiba.

“Usted sabe cuánto esfuerzo se necesita para lograr sólo un firmware para un disco duro? Es necesario conocer las especificaciones, la CPU, la arquitectura del firmware, cómo funciona “, dice Raiu. Los investigadores de Kaspersky han considerado que es “un logro técnico impresionante y un testimonio de las habilidades del grupo.”

Una vez que el firmware se reemplaza con la versión troyanizada, el módulo intermitente crea una API que puede comunicarse con otros módulos maliciosos en el sistema y también el acceso a sectores ocultos del disco donde los atacantes quieren ocultar datos que se proponen robar. Se esconden estos datos en la llamada zona de servicio de la unidad de disco duro en el que almacena los datos del disco duro necesarios para su funcionamiento interno.

La ocultación de los dats almacenados es el Santo Grial

La revelación de que el hackeo del firmware ayuda a almacenar datos que los atacantes quieren robar, no iba a dar mucho juego dado que la historia se descubrió la semana pasada, pero es la parte más significativa del hackeo. Además, se plantea una serie de preguntas acerca de cómo exactamente los atacantes lo están logrando. Sin una copia real de la carga útil de firmware que dirigia los sistemas infectados, aún hay mucho que saber sobre el ataque, pero algunos de ellos ya se pueden conjeturar.

El chip de ROM que contiene el firmware incluye una pequeña capacidad de almacenamiento que no se utiliza. Si el chip ROM es de 2 megabytes, el firmware puede usar hasta sólo 1,5 megabytes, dejando medio megabyte de espacio no utilizado que puede ser empleado para ocultar los datos de los atacantes quieren robar.

Esto es particularmente útil si el ordenador ha permitido cifrado de disco. Debido a que el Equation Group y la ejecución de malware GrayFish en Windows, pueden hacerse con una copia de los documentos mientras están cifrados y guardarlos en esta área oculta en la máquina que no consigue encriptar. No hay mucho espacio en el chip para una gran cantidad de datos o documentos, sin embargo, por lo que los atacantes también puede simplemente almacenar algo igual de valioso para el cifrado de derivación.

“Teniendo en cuenta el hecho de que su implante GrayFish está activo desde el arranque del sistema, tienen la capacidad de capturar la contraseña de cifrado y guardarlo en esta área oculta”, dice Raiu.

Posteriormente las autoridades podían capturar el equipo, quizás a través de la interdicción de la aduana. o como le llaman la NSA ” oportunidades de aduana “, y extraer la contraseña de esta área oculta para desbloquear el disco cifrado.

Raiu piensa que los objetivos previstos de tal esquema se limitan a las máquinas que no están conectadas a internet y se han cifrado los discos duros. Una de las cinco máquinas que encontraron éxito con el módulo de formware intermitente, no tenía conexión a Internet y se utilizó para comunicaciones seguras especiales.

“[Los propietarios] sólo lo utilizan en algunos casos muy concretos en que no hay otra manera alrededor de ella”, dice Raiu. “Piense en Bin Laden quien vivió en el desierto en un aislado compuesto no dispone de Internet y sin huella electrónica. Así que si quieres información de su ordenador, ¿cómo lo consigue? Usted recibe documentos en el área oculta y esperas, y luego después de uno o dos años que vuelvas y robarlo. Los beneficios [del uso de este] son ​​muy específicos “.

Raiu piensa, sin embargo, que los atacantes tienen un esquema mayor en mente. “En el futuro, probablemente quieren llevarlo al siguiente nivel en el que sólo tienes que copiar todos los documentos [en el área oculta] en lugar de la contraseña. [Entonces] en algún momento, cuando tienen la oportunidad de tener acceso físico al sistema, pueden entonces tener acceso a esa área oculta y obtener los documentos cifrados “.

Ellos no necesitarían la contraseña si podían copiar un directorio completo del sistema operativo para el sector oculto para acceder más tarde. Pero el chip flash en el que reside el firmware es demasiado pequeño para grandes cantidades de datos. Así que los atacantes necesitarían un espacio oculto más grande para el almacenamiento. Por suerte para ellos, existe. Hay grandes sectores en el área de servicio de la unidad de disco duro que también han sido utilizados y podrían ser requisados ​​para almacenar un gran alijo de documentos, incluso los que podrían haber sido eliminados de otras partes de la computadora. Esta área de servicio, también llamado el reservado son o área del sistema, almacena el firmware y otros datos necesarios para operar las unidades, pero también contiene grandes porciones de espacio no utilizado.

Un interesante documento http://www.recover.co.il/SA-cover/SA-cover.pdf (.pdf), publicado en febrero de 2013 por Ariel Berkman, un especialista en recuperación de datos en la empresa israelí Recuperar, señaló que “no sólo que estas áreas no se pueden desinfectar (a través de herramientas estándar), que no se puede acceder a través de anti- virus software [o] herramientas forenses. ”

Berkman señala que un modelo particular de discos Western Digital tiene 141 MB reservados para el área de servicio, pero sólo utiliza 12 MB de esto, dejando el resto libre para almacenamiento de sigilo.

Para escribir o copiar datos en el área de servicio requiere de comandos especiales que son específicos de cada proveedor y no están documentados públicamente, por lo que un atacante tendría que descubrir cuáles son. Pero una vez que lo hacen, envian Comandos específicos directamente a la unidad de disco duro, con lo que se pueden manipular estas áreas para leer y escribir datos que son de otro modo inaccesibles, indica Berkman. También es posible, aunque no trivial, escribir un programa para copiar automáticamente los documentos a esta área. El mismo Berkman escribió un programa de prueba de concepto para leer y escribir un archivo de hasta 94 MB a la zona de servicio, pero el programa era un poco inestable y señaló que podría causar algo de pérdida de datos o hacer que el disco duro fallara

El problema de ocultar grandes cantidades de datos de este tipo, sin embargo, es que su presencia puede ser detectada mediante el examen del tamaño del espacio usado en el área de servicio. Si debe haber 129 MB de espacio no utilizado en este sector pero sólo hay 80 MB, es un claro indicativo de que algo hay de que no debe ser. Pero un documento NSA filtrado que fue escrito en 2006, pero fue publicado por Der Spiegel el mes pasado, sugiere que la agencia de espionaje podría haber resuelto este problema en particular.

NSA pasantes al Rescate

El documento http://www.spiegel.de/media/media-35661.pdf  (.pdf) es esencialmente una lista de deseos de las capacidades de espionaje de la NSA en un futuro, que esperaba desarrollar por su llamada División Persistencia, una división que tiene un equipo de ataque dentro de ella que se centra en establecer y mantener la persistencia en las máquinas comprometidas por subvertir su firmware, BIOS, BUS o conductores. El documento enumera una serie de proyectos de la NSA armó para los internos para hacer frente en nombre de este equipo de ataque. Entre ellos se encuentra el proyecto “Covert almacenamiento” para el desarrollo de un implante de firmware del disco duro que puede impedir el almacenamiento encubierta en discos de ser detectado. Para ello, el implante evita que el sistema de revelar la verdadera cantidad de espacio libre disponible en el disco.

“La idea sería la de modificar el firmware de un disco duro en particular por lo que normalmente sólo se reconoce, por ejemplo, la mitad de su espacio disponible”, dice el documento. “Sería informan este tamaño volver al sistema operativo y no proporciona ninguna manera de acceder al espacio adicional.” Sólo una partición de la unidad sería visible en la tabla de particiones, dejando las otras particiones, donde los datos ocultos se almacenó-invisible e inaccesible.

El firmware modificado tendría un gancho especial incrustado en él que desbloquear este espacio de almacenamiento oculto sólo después de un comando personalizado fue enviado a la unidad y el ordenador se reinicia. La partición oculta sería entonces disponibles en la tabla de particiones y accesibles hasta el almacenamiento secreto fue bloqueado de nuevo con otro comando personalizado.

¿Cómo funciona exactamente la agencia de espionaje previsto para recuperar los datos ocultos que no estaba claro a partir de los ocho años de edad documento. Tampoco está claro si los internos nunca produjeron un implante de firmware que logró lo que la NSA buscaba. Pero dado que el documento incluye una nota que se esperaría que los internos para producir una solución para su proyecto dentro de seis meses después de la asignación, cabe tener en cuenta el ingenio demostrado de la NSA en otros asuntos.

(Traduccion automatica hecha por el traductor de Google)

Ver informacion original en ingles en Fuente:
http://www.wired.com/2015/02/nsa-firmware-hacking/