• 首页
• 新闻中心
  • 内部新闻
  • 公共新闻
  • 业界新闻
  • 产品新闻
• 产品应用
  • 程序开发工具
  • 企业级应用
  • 服务器软件
  • 应用工具
  • 数字娱乐
  • 硬件
• 解决方案
  • 系统架构经验谈
  • 系统部署应用
  • 办公自动化
  • 案例集锦
  • 参考手册
• 开源应用支持
  • 认识Unix
  • 系统管理
  • 网络管理
  • 桌面应用
  • 存储备份
  • 引导安装
  • 服务应用
  • 群集应用
  • 数据库
  • 系统安全
• 程序设计与开发
  • Perl编程
  • 设计与开发
  • 应用编程开发
  • Web设计与编程
• 关于我们
  • 关于本站

NSA在硬盘中藏间谍软件可监听全球大多数电脑

2015-02-17 11:22:49 阿炯

据路透社报道, 美国国家安全局制造出了可以藏匿在硬盘驱动器中的间谍软件，西部数据、希捷、东芝等顶级制造商生产的硬盘无一幸免。俄罗斯的卡巴斯基实验室表示，该机构利用这种技术可以窃听世界大多数的电脑。

卡巴斯基表示，它发现这种间谍程序感染的个人电脑遍布30多个国家，大多数的感染电脑出现在伊朗，其次是俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。监听目标包括政府和军事机构、电信公司、银行、能源公司、核研究人员、媒体和伊斯兰激进分子。一位前国家安全局员工告诉路透社，卡巴斯基的分析是正确的。另一位前情报人员证实，美国国家安全局开发了隐藏在硬盘驱动器的间谍技术，但他表示不知道基于这种软件美国安局进行了哪些间谍活动。

NSA发言人Vanee Vines拒绝发表评论。

卡巴斯基周一还发布了该技术的细节，该间谍软件将恶意代码存储在硬盘固件中，每次启动计算机时该代码都会自动执行。硬盘驱动器固件被间谍和网络安全专家视为PC上黑客第二重视的资产，仅次于电脑开机使用的BIOS代码。这些硬件固件可以一遍又一遍的感染计算机。这种恶意代码可让他们窃取文件或窃听任何他们想要的信息。不过美国安局只是选择性的与某些外国目标建立完整的远程控制。

卡巴斯基的深入分析表明这种恶意软件可以工作在十几家公司的硬盘上，基本上覆盖了整个硬盘市场。其中包括西部数据公司、希捷科技、东芝公司、IBM、美光科技公司和三星电子有限公司等。西部数据、希捷和美光均表示，他们并不知道这些间谍程序。东芝、IBM和三星均拒绝置评。

卡巴斯基表示，间谍程序的作者应该已经获得了这些硬盘固件的专利源代码。这些源代码可以作为攻击的路线图。基于公开信息重写硬盘的固件几乎没有可能。目前并不知道美国安局如何获得这些源代码。西部数据发言人史蒂夫·沙特克表示，该公司“未提供其源代码给政府机构。” 当然硬盘厂商即使分享了它们的源代码，也不会承认。

这可能会进一步破坏美国国家安全局的监控能力。此前斯诺登的棱镜门已经伤害了美国与其盟友的关系，并损害了美国海外技术产品的销售。安全公司 Kaspersky 在该公司的安全分析师高峰会上发表文件，揭示美国国家安全局( NSA ) 透过 Windows 和 Mac OS X，在硬盘中植入间谍程序，目前唯一的防御手段是使用 Linux 。

NSA 入侵硬盘、用 Linux 成唯一防御手段

Kaspersky Lab 的全球研究与分析小组(Global Research and Analysis Team, GReAT)，多年来监控发动全球网络攻击背后的60多个进阶威胁组织，发现了一个技术高明程度超越其他人的骇客组织，活跃近20年。Kaspersky Lab 将它取名为 The Equation Group，因为经常透过异常复杂的演算法组织攻击。为了感染受害者系统，The Equation Group 发展了极强大的木马“军火库”，至少包括 EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等数个间盘工具。受害者遍及伊朗、俄罗斯、敍利亚、阿富汗、阿拉伯联合大公国、香港、英美等30余国，包括500个以上的金融、核能、电信等企业及军方与政府单位，感染系统涵括伺服器、网域控制器、资料仓储、网站等。基于程序的自我毁灭机制，安全公司推断受害者其实只是冰山一角，实际数目可能高达上万。The Equation Group 的木马“军火库”最厉害的是可以感染硬盘固件，这是 Kaspersky Lab“从来都没发现过的新型攻击”。

恶意程序 Equationdrug 及 Grayfish，将10多种市售硬盘固件重新编程，包括 Seagate、IBM、WD、三星等。背后目的可能有两个，一是植入恶意程序后，能避免因磁盘重新格式化及重装作业系统而移除掉，二是暗中窃取资讯并传送给骇客。研究人员指出这可能是 The Equation Group 最强大的工具，也是已知首个感染硬盘的手法。此等间盘程序透过 Windows 入侵电脑重写硬盘固件，目前收集到的样本中虽没有发现 Mac OS X 受到感染，但从截听 C&C 取得受害者的信息中，发现有部分信息来自 Mac OS X，Linux 暂时没有被入侵的记录。由于 The Equation Group 的间盘程序主要为 Windows 而设计，使用的是 Windows 的零日攻击漏洞，目前唯一有效的防御手段是使用 Linux，条件是在感染木马“军火库”之前、即在硬盘全新的状态下安装 Linux。在系统被感染后才将作业系统改为 Linux 是没用的，因为硬盘固件已经被改写了。

Karspersky并未说明 The Equation Group 强大能力的背后主谋是谁，但却指出其种种手法，暗示可能与 NSA 的间谍活动有关。2009年 The Equation Group 在美国休士顿拦截邮寄途中的光盘片，并植入用于骇客行为的恶意程序，再寄给原收件单位。这手法和 NSA 半路拦截且感染思科网络设备的手法很像。分析 The Equation Group 程序函式库中不小心洩露的关键字，发现到外挂键盘侧录程序Grok，这出现在2013年媒体报导NSA用于感染全球数百万电脑的攻击工具中。另外，STRAITACID 也与 NSA 的 Tailored Access Operations 使用的 STRAITBIZARRE 很像，它可作为“用后即丢”的攻击工具。Kaskpersky研究人员并发现，The Equation Group 和其他蠕虫攻击如 Stuxnet 和 Flame 之间关联性。例如 Stuxnet 攻击中的一些“零号受害者”(Patient Zero) 感染了 The Equation Group 的恶意程序，可能是其恶意程序被用于 Stuxnet 的程序筹载中。此外加密筹载(payload)的行为也类似Stuxnet。Stuxnet 和Flame 分别是 NSA 和以色列及 NSA、中情局(CIA)在背后操刀发动的骇客行动。近年来Stuxnet已被多次发现锁定伊朗，Stuxnet蠕虫攻击伊朗的时间点最早可追溯到2005年，NSA 对此并未向媒体做出任何评论。