{"id":4837,"date":"2015-02-18T19:40:38","date_gmt":"2015-02-18T19:40:38","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=4837"},"modified":"2020-02-26T13:23:21","modified_gmt":"2020-02-26T16:23:21","slug":"equation-malware-indestrutivel","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/equation-malware-indestrutivel\/4837\/","title":{"rendered":"Equation, o malware indestrut\u00edvel"},"content":{"rendered":"<p>A equipe de pesquisadores da\u00a0Kaspersky divulgou\u00a0uma <a href=\"https:\/\/securelist.com\/blog\/research\/68750\/equation-the-death-star-of-malware-galaxy\/\" target=\"_blank\" rel=\"noopener\">pesquisa sobre a atividade do grupo de ciberespionagem Equation<\/a>, e revelou algumas t\u00e1ticas muito \u00fateis para lutarmos contra eles. Este grupo hacker produziu uma s\u00e9rie de complexos v\u00edrus, mas a descoberta mais interessante foi a habilidade do malware em reprogramar os HDs das v\u00edtimas, sendo ao mesmo tempo\u00a0invis\u00edvel e quase indestrut\u00edvel.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet \u2013 <a href=\"http:\/\/t.co\/FsaH0Jzq5O\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/FsaH0Jzq5O<\/a><\/p>\n<p>\u2014 Kim Zetter (@KimZetter) <a href=\"https:\/\/twitter.com\/KimZetter\/status\/567400308045647872?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 16, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Esta \u00e9 <a href=\"https:\/\/kasperskydaily.com\/brazil\/os-8-virus-mais-assustadores-de-todos-os-tempos\/1604\/\" target=\"_blank\" rel=\"noopener noreferrer\">uma das hist\u00f3rias assustadoras em rela\u00e7\u00e3o \u00e0 seguran\u00e7a do computador<\/a> \u2013 um v\u00edrus incur\u00e1vel que persiste no disco r\u00edgido do computador sempre foi considerado uma lenda urbana por d\u00e9cadas, mas parece que as pessoas est\u00e3o dispostas a gastar milh\u00f5es de d\u00f3lares para que isso aconte\u00e7a. Alguns relatos na imprensa sobre a hist\u00f3ria do Equation dizem que com ele\u00a0hackers <a href=\"http:\/\/www.reuters.com\/article\/2015\/02\/16\/us-usa-cyberspying-idUSKBN0LK1QV20150216\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">\u201cespionam a maioria dos computadores do mundo\u201d<\/a>. No entanto, queremos reduzir o n\u00edvel de drama. Esta hip\u00f3tese permanecer\u00e1 t\u00e3o rara como pandas atravessando a rua.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/02\/06141421\/The-Equation-Group-1024x767.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-4838\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/02\/06141421\/The-Equation-Group-1024x767.png\" alt=\"The-Equation-Group-1024x767\" width=\"1024\" height=\"767\"><\/a><\/p>\n<p>Vamos come\u00e7ar explicando o que \u201creprograma\u00e7\u00e3o do firmware do disco r\u00edgido\u201d significa. Um disco r\u00edgido consiste em dois componentes importantes \u2013 um meio de mem\u00f3ria (discos magn\u00e9ticos para HDDs cl\u00e1ssicos ou chips de mem\u00f3ria flash para SSD) e um microchip, que controla a leitura e a escrita para o disco, assim como detec\u00e7\u00e3o e corre\u00e7\u00e3o de erros. Estes procedimentos de servi\u00e7o s\u00e3o numerosos e complexos, por isso um chip executa seu pr\u00f3prio programa e, tecnicamente falando, \u00e9 um pequeno computador por si s\u00f3. O programa do chip \u00e9 chamado de firmware e um expert em disco r\u00edgido pode querer atualiz\u00e1-lo, com o intuito de corrigir\u00a0erros ou simplesmente melhorar o desempenho.<\/p>\n<p>Este mecanismo de atualiza\u00e7\u00e3o \u00e9 visado\u00a0pelo grupo Equation, que fazia com que as pessoas baixassem o pr\u00f3prio firmware para o disco r\u00edgido em 12 \u201ccategorias\u201d diferentes. As fun\u00e7\u00f5es deste software\u00a0modificado permanecem desconhecidas, mas uma vez instalado no computador, o malware obt\u00e9m a capacidade de escrever e ler dados da \u00e1rea dedicada ao\u00a0HD. Supomos que esta \u00e1rea se torna completamente oculta em um sistema operacional e at\u00e9 mesmo em um software especial. Os dados nesta \u00e1rea podem sobreviver \u00e0 reformata\u00e7\u00e3o do disco r\u00edgido, e o firmware pode ser capaz de infectar a \u00e1rea de boot do disco r\u00edgido \u2013 o sistema operacional desde sua origem. Em outras palavras, uma vez que o firmware do HDD\u00a0\u00e9 infectado, esse v\u00edrus torna-se indetect\u00e1vel e quase indestrut\u00edvel. \u00c9 mais f\u00e1cil e mais barato abandonar o\u00a0carro suspeito e comprar logo um novo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth\u2026<\/p>\n<p>\u2014 Matthew Green (@matthew_d_green) <a href=\"https:\/\/twitter.com\/matthew_d_green\/status\/567473604347326466?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>No entanto, n\u00e3o se apresse para encontrar sua caixa de ferramentas \u2013 n\u00e3o esperamos que esta capacidade de infec\u00e7\u00e3o se torne t\u00e3o difundida assim. At\u00e9 mesmo\u00a0o grupo Equation provavelmente s\u00f3 o utilizou algumas vezes, e o m\u00f3dulo infector HDD \u00e9 extremamente raro em sistemas. Para come\u00e7ar, a reprograma\u00e7\u00e3o do disco r\u00edgido \u00e9 muito mais complexa do que a do Windows por exemplo. Cada modelo \u00e9 \u00fanico e \u00e9 muito caro e trabalhoso desenvolver um firmware alternativo. Um hacker deve obter a documenta\u00e7\u00e3o interna do fornecedor do disco r\u00edgido (quase imposs\u00edvel), a compra de algumas unidades do mesmo modelo, desenvolver e testar a funcionalidade necess\u00e1ria, e testar rotinas maliciosas em firmware existentes, ao mesmo tempo em que mant\u00e9m suas fun\u00e7\u00f5es originais. Isso \u00e9 um perfil de alta engenharia de sistemas, que exige meses de desenvolvimento e milh\u00f5es em investimento. \u00c9 por isso que n\u00e3o \u00e9 vi\u00e1vel a utiliza\u00e7\u00e3o deste tipo de tecnologias no malware criminoso ou em ataques ainda mais segmentados. Al\u00e9m disso, o desenvolvimento de firmware \u00e9, obviamente, uma abordagem que n\u00e3o pode ser facilmente dimensionada. Muitos fabricantes lan\u00e7am firmware para v\u00e1rias unidades em\u00a0cada m\u00eas, novos modelos saem constantemente, e hackear cada um \u00e9 algo al\u00e9m da possibilidade (e necessidade) do grupo Equation \u2013 e de qualquer outro.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"..it would take a very skilled programmer many months or years to master\" reprogramming hard drives, says <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2015?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2015<\/a><\/p>\n<p>\u2014 Kelly Jackson Higgins (@kjhiggins) <a href=\"https:\/\/twitter.com\/kjhiggins\/status\/567654279897686016?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Assim, o resultado pr\u00e1tico da hist\u00f3ria \u00e9 que o malware que infecta a unidade de disco r\u00edgido n\u00e3o \u00e9 mais uma lenda, mas fique tranquilo, pois o indiv\u00edduo m\u00e9dio n\u00e3o est\u00e1 em risco. N\u00e3o destrua seus HDs com um martelo, a menos que voc\u00ea trabalhe na ind\u00fastria nuclear do Ir\u00e3. Preste mais aten\u00e7\u00e3o \u00e0s maneiras menos emocionantes, mas mais prov\u00e1veis de infec\u00e7\u00f5es por v\u00edrus:<a title=\"E a senha mais comum da Internet continua sendo\u2026\" href=\"https:\/\/kasperskydaily.com\/brazil\/piores-senhas-internet\/4666\/\" target=\"_blank\" rel=\"noopener noreferrer\"> senhas fracas<\/a> ou <a href=\"https:\/\/www.kaspersky.com\/advert\/free-trials\/multi-device-security?redef=1&amp;THRU&amp;reseller=blog_en-global\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">antiv\u00edrus desatualizado<\/a>.<\/p>\n<p style=\"text-align: right\"><em>Tradu\u00e7\u00e3o: Henrique Bauce<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>A equipe de pesquisadores da\u00a0Kaspersky divulgou\u00a0uma pesquisa sobre a atividade do grupo de ciberespionagem Equation, e revelou algumas t\u00e1ticas muito \u00fateis para lutarmos contra eles. Este grupo hacker produziu uma<\/p>\n","protected":false},"author":32,"featured_media":4838,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[522,286,54,523,35,524],"class_list":{"0":"post-4837","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-disco-rigido","10":"tag-espionagem","11":"tag-hackers","12":"tag-hdd","13":"tag-malware-2","14":"tag-thesas2015"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/equation-malware-indestrutivel\/4837\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/disco-rigido\/","name":"disco r\u00edgido"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=4837"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4837\/revisions"}],"predecessor-version":[{"id":14379,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4837\/revisions\/14379"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/4838"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=4837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=4837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=4837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}