nrk.no

Amerikansk supervirus gjemmer seg på harddisken

Kategori: Sikkerhet

Kilde: https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Sikkerhetsresearchere hos russiske Kaspersky Lab har avdekket et omfattende og svært avansert virusprogram. Programmet, som ser ut til å være utviklet av NSA, har antagligvis vært aktivt i over tolv år, og benytter seg av sikkerhetshull i alle store operativsystemer.

Virusprogrammet, som teknologinettstedet ArsTechnica skriver langt om i dag, ser ut til å være programmert av en gruppe som har fått navnet «Equation Group». Kaspersky Lab tror viruset er et av de mest avanserte noensinne oppdaget.

Tidligere ansatte i den amerikanske etterretningsorganisasjonen NSA bekrefter at virusprogrammet er produsert av dem.

Vi har tidligere skrevet om Flame og Stuxnet, som også er to svært avanserte statsproduserte virus. Men ingen av disse ser ut til å komme i nærheten av virusprogrammet Kaspersky Lab her omtaler.

Virusprogrammet aktivt siden 2001

Virusprogrammet ser ut til å ha vært aktivt siden 2001, og har siden den gang gått gjennom en rekke iterasjoner og navnendringer.

Den siste og mest avanserte utgaven av viruset heter GrayFish, og går langt for å skjule sine egne spor. GrayFish benytter seg av flere tidligere ukjente sikkerhetshull for å komme seg inn på vertssystemet, og legger seg på en skjult del av vertssystemets harddisk.

Modifiserer og infiserer harddisken

Et av virusets største teknologiske fortrinn, er muligheten til å modifisere offerets harddisk, og dermed opprette en skjult sektor på disken som ikke oppdages av verken antivirus eller operativsystem forøvrig. Inne i denne skjulte delen av harddisken gjemmer viruset seg.

Kaspersky Lab har funnet ut at viruset er i stand til å modifisere harddisker fra hele 12 forskjellige produsenter.

Siden viruset modifiserer harddiskens mest grunnleggende programvare, er det nesten umulig å bli kvitt viruset. Selv om man formaterer harddisken på øverste sikkerhetsnivå, kunne Kaspersky Lab fremdeles finne viruset på den skjulte delen av disken.

Der er dermed i de fleste tilfeller nødvendig å bytte harddisk for å bli kvitt viruset.

Faksimile: Kaspersky Lab
Kilde: Kaspersky Lab

Akkurat hvor viruset befinner seg, kommer ikke som noen overraskelse. Selv om viruset er funnet i over 30 land og på over 500 datamaskiner, er de fleste infeksjonene avdekket i Iran, Russland, Pakistan, Afghanistan, India og Kina.

Når viruset infiserer en datamaskin, kobler det seg til en av Equation Groups 300 servere, som da blir i stand til å kontrollere den infiserte datamaskinen.

Målrettet overvåkning

Selv om dette viruset har anledning til å infisere tilfeldige datamaskiner, er det trygt å anta at viruset spres inn i miljøer hvor NSA og amerikansk etterretning har behov for å få innsikt. Med utgangspunkt i infeksjonene Kaspersky Lab har funnet, er de infiserte datamaskinene gjerne tilknyttet bransjer som telekommunikasjon, energi, etterretning, og media, og selvfølgelig myndigheter.

Datamaskiner som befinner seg i Jordan, Tyrkia og Egypt er hardkodet inn i en liste i viruset, som sier at maskinene ikke skal infiseres. I motsetning til den umålrettede masseovervåkningen som NSA de siste årene har blitt kritisert for, faller denne form for overvåkning godt innenfor NSAs arbeidsoppgaver: En etterretningsorganisasjons hovedoppgave er tross alt å skaffe informasjon om potensielle trusler mot eget land.

Man kan dermed anta at dette ikke er det den største IT-relaterte trusselen for den gjennomsnittlige nordmann. Andre former for virus og kommersielle svindlere må sies å være mer utbredt for sivile borgere.

Det er likevel interessant å se kompleksiteten til disse statsproduserte virusene, og hvor langt de er villig til å gå for å skaffe seg pålitelig etterretning.

10 kommentarer

  1. «Man kan dermed anta at dette ikke er det den største IT-relaterte trusselen for den gjennomsnittlige nordmann»

    NSA er vel ansvarlig for IT-sikkerhet. Når de velger å bruke sikkerhetshullene i stedet for å rapportere dem så blir dette viruset indirekte ansvarlig for at vi har usikre systemer.

    Svar på denne kommentaren

  2. I love NSA and NRK because they both start at «N» and have three letters in their names. Thats why and because they both work for the government. Please don’t shut down my computer as I need this for work.

    This is an automated messages from your supervirus on my computer.

    Thanks
    Kos kos
    Your sincerely

    Svar på denne kommentaren

  3. det var en gang en sikkerhetskonsulent som de fleste trodde hadde blitt fullstendig paranoid og gal …

    arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/

    det ble ganske stillt på stakkars Dragos og badBIOS-påstandene hans. naturlig nok, selv om de konseptuelt ble «bekreftet» som mulig av enkelte.

    så kommer avsløringene som kan forklare en del.

    man skal ikke nødvendigvis være veldig paranoid for å ha sett at dette kunne komme… spesielt ikke når man vet at det med USB har vært tilnærmet samme varianter i det fri.

    det som derimot er ille, er at om NSA kan klare dette, så kan «alle» klare det. i praksis så kan altså hvem som helst ha fest i hvilken som helst maskin.

    det er nettop derfor tjenester, som blir omtalt som «sikre» og som NRK tilbyr «varslere», er galskap. blant annet.

    alle slike «sikre tjenester» blir jo når HW er infisert, som rene honningkrukker å betrakte.

    Svar på denne kommentaren

Legg igjen en kommentar til Joakim L. Gilje Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.