Equation, o malware indestrutível

Ameaças Notícias

A equipe de pesquisadores da Kaspersky divulgou uma pesquisa sobre a atividade do grupo de ciberespionagem Equation, e revelou algumas táticas muito úteis para lutarmos contra eles. Este grupo hacker produziu uma série de complexos vírus, mas a descoberta mais interessante foi a habilidade do malware em reprogramar os HDs das vítimas, sendo ao mesmo tempo invisível e quase indestrutível.

Esta é uma das histórias assustadoras em relação à segurança do computador – um vírus incurável que persiste no disco rígido do computador sempre foi considerado uma lenda urbana por décadas, mas parece que as pessoas estão dispostas a gastar milhões de dólares para que isso aconteça. Alguns relatos na imprensa sobre a história do Equation dizem que com ele hackers “espionam a maioria dos computadores do mundo”. No entanto, queremos reduzir o nível de drama. Esta hipótese permanecerá tão rara como pandas atravessando a rua.

The-Equation-Group-1024x767

Vamos começar explicando o que “reprogramação do firmware do disco rígido” significa. Um disco rígido consiste em dois componentes importantes – um meio de memória (discos magnéticos para HDDs clássicos ou chips de memória flash para SSD) e um microchip, que controla a leitura e a escrita para o disco, assim como detecção e correção de erros. Estes procedimentos de serviço são numerosos e complexos, por isso um chip executa seu próprio programa e, tecnicamente falando, é um pequeno computador por si só. O programa do chip é chamado de firmware e um expert em disco rígido pode querer atualizá-lo, com o intuito de corrigir erros ou simplesmente melhorar o desempenho.

Este mecanismo de atualização é visado pelo grupo Equation, que fazia com que as pessoas baixassem o próprio firmware para o disco rígido em 12 “categorias” diferentes. As funções deste software modificado permanecem desconhecidas, mas uma vez instalado no computador, o malware obtém a capacidade de escrever e ler dados da área dedicada ao HD. Supomos que esta área se torna completamente oculta em um sistema operacional e até mesmo em um software especial. Os dados nesta área podem sobreviver à reformatação do disco rígido, e o firmware pode ser capaz de infectar a área de boot do disco rígido – o sistema operacional desde sua origem. Em outras palavras, uma vez que o firmware do HDD é infectado, esse vírus torna-se indetectável e quase indestrutível. É mais fácil e mais barato abandonar o carro suspeito e comprar logo um novo.

No entanto, não se apresse para encontrar sua caixa de ferramentas – não esperamos que esta capacidade de infecção se torne tão difundida assim. Até mesmo o grupo Equation provavelmente só o utilizou algumas vezes, e o módulo infector HDD é extremamente raro em sistemas. Para começar, a reprogramação do disco rígido é muito mais complexa do que a do Windows por exemplo. Cada modelo é único e é muito caro e trabalhoso desenvolver um firmware alternativo. Um hacker deve obter a documentação interna do fornecedor do disco rígido (quase impossível), a compra de algumas unidades do mesmo modelo, desenvolver e testar a funcionalidade necessária, e testar rotinas maliciosas em firmware existentes, ao mesmo tempo em que mantém suas funções originais. Isso é um perfil de alta engenharia de sistemas, que exige meses de desenvolvimento e milhões em investimento. É por isso que não é viável a utilização deste tipo de tecnologias no malware criminoso ou em ataques ainda mais segmentados. Além disso, o desenvolvimento de firmware é, obviamente, uma abordagem que não pode ser facilmente dimensionada. Muitos fabricantes lançam firmware para várias unidades em cada mês, novos modelos saem constantemente, e hackear cada um é algo além da possibilidade (e necessidade) do grupo Equation – e de qualquer outro.

Assim, o resultado prático da história é que o malware que infecta a unidade de disco rígido não é mais uma lenda, mas fique tranquilo, pois o indivíduo médio não está em risco. Não destrua seus HDs com um martelo, a menos que você trabalhe na indústria nuclear do Irã. Preste mais atenção às maneiras menos emocionantes, mas mais prováveis de infecções por vírus: senhas fracas ou antivírus desatualizado.

Tradução: Henrique Bauce