Il malware indistruttibile di Equation è in circolazione. Ma niente panico! (per ora)

17 Feb 2015

Una ricerca appena pubblicata dal GReAT di Kaspersky Lab riguarda l’attività del gruppo di cyber-spionaggio Equation e di alcune tecniche particolari che hanno elaborato. Questo gruppo di hacker, molto potente e in circolazione da qualche tempo, ha creato una serie di “impianti” dannosi e molto pericolosi, ma l’aspetto più interessante è la capacità del malware di riprogrammare il disco rigido delle vittime, rendendo i suoi “impianti” invisibili e praticamente indistruttibili.

Si tratta di uno degli incubi nel campo della sicurezza informatica. Un virus incurabile che resiste a vita nell’hardware del computer è stata considerata una leggenda metropolitana per decenni, ma sembra che ora qualcuno abbia speso milioni di dollari per rendere tutto questo realtà. Alcuni servizi giornalistici in merito a Equation si sono spinti oltre affermando che questo virus consente agli hacker di “penetrare la maggior parte dei computer del mondo“. Tuttavia, dobbiamo evitare scene di panico, la probabilità che entri in azione è molto bassa.

The-Equation-Group

Iniziamo con lo spiegare cosa significa “riprogrammare il firmware del disco rigido”. L’hard disk è composto da due elementi principali, un supporto di memoria (dischi magnetici nei classici HDD o chip di memoria flash per le SDD) e un microchip che controlla la lettura e la scrittura su disco e alcune procedure di servizio come individuazione e correzioni di errori. Si tratta di varie procedure di servizio e anche piuttosto complesse: il chip esegue il suo sofisticato programma e, dal punto di vista tecnico, è come se si trattasse di una sorta di computer in miniatura. Il programma del chip si chiama firmware e i produttori degli hard disk a volte desiderano aggiornarlo per correggere alcuni errori o per migliorare le prestazioni.

Questo meccanismo è stato sfruttato dal gruppo Equation, in grado di scaricare i propri firmware negli hard disk di 12 diverse “categorie” (varianti/case produttrici). Le funzionalità del firmware modificato rimangono sconosciute ma il malware sul computer riesce a scrivere e a leggere i dati provenienti o diretti a una specifica area dell’hard disk. Riteniamo che quest’aera riesca a rimanere nascosta al sistema operativo e a software specifici per indagini forensi. I dati presenti in quest’area possono sopravvivere alla formattazione del disco rigido e, in teoria, il firmware potrebbe essere in grado di infettare nuovamente l’area di avvio del sistema operativo appena reinstallato. Per complicare ulteriormente il tutto, la verifica del firmware e la sua riprogrammazione dipendono dal firmware stesso, per cui non è possibile conoscere l’effettiva integrità del firmware o ricaricarlo. In poche parole, una volta infettato, il firmware del disco rigido non può essere individuato e rimane indistruttibile; risulta molto più facile e meno costoso sbarazzarsi dell’hard disk sospetto e comprarne uno nuovo.

In ogni caso, non iniziate a iperventilare, non crediamo che questo tipo di infezione possa raggiungere una certa popolarità. Il gruppo Equation l’avrà utilizzata poche volte, dal momento che il modulo d’infezione dell’HDD è estremamente raro. Innanzitutto, l’operazione di riprogrammazione è molto più complessa che quella di scrittura, ad esempio, di un sofware Windows. I moduli degli hard disk sono unici, costosi ed è difficoltoso sviluppare un firmware alternativo. Un hacker dovrebbe impossessarsi della documentazione privata e interna della casa produttrice (missione impossibile di per sé), acquistare i drive dello stesso modello, sviluppare e testare le funzionalità richieste per inserire il malware nel firmware esistente senza modificare le caratteristiche del prodotto. Tutte operazioni estremamente tecniche e soprattutto molto costose, per questo non è fattibile che questo metodo venga utilizzato dai cybercriminali comuni e nemmeno per attacchi mirati. Inoltre, la tecnica di sviluppo dei firmware è molto specifica ed è difficile misurare i suoi risultati. Molte case produttrici rilasciano ogni mese i firmware per vari tipi di disco rigido, escono continuamente nuovi modelli e diventa impossibile per il gruppo Equation (e per chiunque) hackerarli tutti.

Per farla breve, dobbiamo ammettere che si può infettare un HDD con un malware, ormai non è più una leggenda metropolitana; tuttavia, per l’utente medio ciò non costituisce ancora un rischio. Non vale la pena distruggere il vostro hard disk con un martello, a meno che lavoriate in una centrale nucleare iraniana. Vi conviene prestare più attenzione, invece, a rischi magari meno eccitanti ma maggiormente probabili, come l’uso di password deboli o un antivirus non aggiornato.