{"id":5632,"date":"2015-02-17T17:47:04","date_gmt":"2015-02-17T17:47:04","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=5632"},"modified":"2020-02-26T17:28:01","modified_gmt":"2020-02-26T15:28:01","slug":"equation-hdd-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/equation-hdd-malware\/5632\/","title":{"rendered":"Il malware indistruttibile di Equation \u00e8 in circolazione. Ma niente panico! (per ora)"},"content":{"rendered":"<p>Una ricerca appena pubblicata dal GReAT di Kaspersky Lab riguarda l\u2019attivit\u00e0 del <a href=\"https:\/\/securelist.com\/blog\/research\/68750\/equation-the-death-star-of-malware-galaxy\/\" target=\"_blank\" rel=\"noopener\">gruppo di cyber-spionaggio Equation<\/a> e di alcune tecniche particolari che hanno elaborato. Questo gruppo di hacker, molto potente e in circolazione da qualche tempo, ha creato una serie di \u201cimpianti\u201d dannosi e molto pericolosi, ma l\u2019aspetto pi\u00f9 interessante \u00e8 la capacit\u00e0 del malware di riprogrammare il disco rigido delle vittime, rendendo i suoi \u201cimpianti\u201d invisibili e praticamente indistruttibili.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet \u2013 <a href=\"http:\/\/t.co\/FsaH0Jzq5O\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/FsaH0Jzq5O<\/a><\/p>\n<p>\u2014 Kim Zetter (@KimZetter) <a href=\"https:\/\/twitter.com\/KimZetter\/status\/567400308045647872?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 16, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Si tratta di <a href=\"https:\/\/www.kaspersky.it\/blog\/gli-otto-virus-piu-spaventosi-di-tutti-i-tempi\/1960\/\" target=\"_blank\" rel=\"noopener\">uno degli incubi nel campo della sicurezza informatica<\/a>. Un virus incurabile che resiste a vita nell\u2019hardware del computer \u00e8 stata considerata una leggenda metropolitana per decenni, ma sembra che ora qualcuno abbia speso milioni di dollari per rendere tutto questo realt\u00e0. Alcuni servizi giornalistici in merito a Equation si sono spinti oltre affermando che questo virus consente agli hacker di \u201c<a href=\"http:\/\/www.reuters.com\/article\/2015\/02\/16\/us-usa-cyberspying-idUSKBN0LK1QV20150216\" target=\"_blank\" rel=\"noopener nofollow\">penetrare la maggior parte dei computer del mondo<\/a>\u201c. Tuttavia, dobbiamo evitare scene di panico, la probabilit\u00e0 che entri in azione \u00e8 molto bassa.<\/p>\n<p>Iniziamo con lo spiegare cosa significa \u201criprogrammare il firmware del disco rigido\u201d. L\u2019hard disk \u00e8 composto da due elementi principali, un supporto di memoria (dischi magnetici nei classici HDD o chip di memoria flash per le SDD) e un microchip che controlla la lettura e la scrittura su disco e alcune procedure di servizio come individuazione e correzioni di errori. Si tratta di varie procedure di servizio e anche piuttosto complesse: il chip esegue il suo sofisticato programma e, dal punto di vista tecnico, \u00e8 come se si trattasse di una sorta di computer in miniatura. Il programma del chip si chiama firmware e i produttori degli hard disk a volte desiderano aggiornarlo per correggere alcuni errori o per migliorare le prestazioni.<\/p>\n<p>Questo meccanismo \u00e8 stato sfruttato dal gruppo Equation, in grado di scaricare i propri firmware negli hard disk di 12 diverse \u201ccategorie\u201d (varianti\/case produttrici). Le funzionalit\u00e0 del firmware modificato rimangono sconosciute ma il malware sul computer riesce a scrivere e a leggere i dati provenienti o diretti a una specifica area dell\u2019hard disk. Riteniamo che quest\u2019aera riesca a rimanere nascosta al sistema operativo e a software specifici per indagini forensi. I dati presenti in quest\u2019area possono sopravvivere alla formattazione del disco rigido e, in teoria, il firmware potrebbe essere in grado di infettare nuovamente l\u2019area di avvio del sistema operativo appena reinstallato. Per complicare ulteriormente il tutto, la verifica del firmware e la sua riprogrammazione dipendono dal firmware stesso, per cui non \u00e8 possibile conoscere l\u2019effettiva integrit\u00e0 del firmware o ricaricarlo. In poche parole, una volta infettato, il firmware del disco rigido non pu\u00f2 essere individuato e rimane indistruttibile; risulta molto pi\u00f9 facile e meno costoso sbarazzarsi dell\u2019hard disk sospetto e comprarne uno nuovo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth\u2026<\/p>\n<p>\u2014 Matthew Green (@matthew_d_green) <a href=\"https:\/\/twitter.com\/matthew_d_green\/status\/567473604347326466?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In ogni caso, non iniziate a iperventilare, non crediamo che questo tipo di infezione possa raggiungere una certa popolarit\u00e0. Il gruppo Equation l\u2019avr\u00e0 utilizzata poche volte, dal momento che il modulo d\u2019infezione dell\u2019HDD \u00e8 estremamente raro. Innanzitutto, l\u2019operazione di riprogrammazione \u00e8 molto pi\u00f9 complessa che quella di scrittura, ad esempio, di un sofware Windows. I moduli degli hard disk sono unici, costosi ed \u00e8 difficoltoso sviluppare un firmware alternativo. Un hacker dovrebbe impossessarsi della documentazione privata e interna della casa produttrice (missione impossibile di per s\u00e9), acquistare i drive dello stesso modello, sviluppare e testare le funzionalit\u00e0 richieste per inserire il malware nel firmware esistente senza modificare le caratteristiche del prodotto. Tutte operazioni estremamente tecniche e soprattutto molto costose, per questo non \u00e8 fattibile che questo metodo venga utilizzato dai cybercriminali comuni e nemmeno per attacchi mirati. Inoltre, la tecnica di sviluppo dei firmware \u00e8 molto specifica ed \u00e8 difficile misurare i suoi risultati. Molte case produttrici rilasciano ogni mese i firmware per vari tipi di disco rigido, escono continuamente nuovi modelli e diventa impossibile per il gruppo Equation (e per chiunque) hackerarli tutti.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"..it would take a very skilled programmer many months or years to master\" reprogramming hard drives, says <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2015?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2015<\/a><\/p>\n<p>\u2014 Kelly Jackson Higgins (@kjhiggins) <a href=\"https:\/\/twitter.com\/kjhiggins\/status\/567654279897686016?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Per farla breve, dobbiamo ammettere che si pu\u00f2 infettare un HDD con un malware, ormai non \u00e8 pi\u00f9 una leggenda metropolitana; tuttavia, per l\u2019utente medio ci\u00f2 non costituisce ancora un rischio. Non vale la pena distruggere il vostro hard disk con un martello, a meno che lavoriate in una centrale nucleare iraniana. Vi conviene prestare pi\u00f9 attenzione, invece, a rischi magari meno eccitanti ma maggiormente probabili, come l\u2019uso di <a href=\"https:\/\/www.kaspersky.it\/blog\/sicurezza-it-e-false-percezioni-password\/5416\/\" target=\"_blank\" rel=\"noopener\">password deboli<\/a> o un <a href=\"http:\/\/store.kaspersky.it\/prova_gratuita_kaspersky_internet_security_multidevice-769159.html?_ga=1.35756192.1279684190.1404989891&amp;typnews=it_SoMe-2015_pro_ona_smm__onl_b2c_fbo_lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">antivirus non aggiornato<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Esiste un malware che non si pu\u00f2 cancellare dall\u2019hard disk, ma \u00e8 molto costoso e raro. Probabilmente non vi ci imbatterete mai.<\/p>\n","protected":false},"author":32,"featured_media":5633,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[],"class_list":{"0":"post-5632","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/equation-hdd-malware\/5632\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/equation-hdd-malware\/4621\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/equation-hdd-malware\/4570\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/equation-hdd-malware\/5143\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/equation-hdd-malware\/6886\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/equation-hdd-malware\/6984\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/equation-hdd-malware\/7623\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/equation-hdd-malware\/6897\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/equation-hdd-malware\/6984\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/equation-hdd-malware\/7623\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/equation-hdd-malware\/7623\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=5632"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5632\/revisions"}],"predecessor-version":[{"id":20619,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5632\/revisions\/20619"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/5633"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=5632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=5632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=5632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}