آیا Equation دیسک سخت من را هم دستکاری کرده ؟

دیسک سختمهاجمان سایبری Equation برای فعالیت‌های جاسوسی و سرقت اطلاعات اقدام به آلوده کردن بخش ثابت‌افزار یا Firmware دیسک های سخت HDD و SSD می کردند. بخشی از دیسک که تابحال فقط قابل دسترسی و در کنترل شرکتهای سازنده این دیسک‌ها بوده است. ولی آیا می توان تشخیص داد که دیسکی توسط Equation دستکاری و آلوده شده است ؟

شرکت ضدویروس Kaspersky با انتشار گزارشی از کشف بدافزاری بر روی دیسک سخت کامپیوترهایی در بیش از 30 کشور جهان خبر داد که هم تراز بدافزار مشهور Stuxnet است و نزدیک به دو دهه فعالیت مخفی داشته است. این عملیات سایبری، Equation نامگذاری شده و از نام یک الگوریتم رمزگذاری که در این عملیات استفاده می شود، اقتباس گردیده.

تاکنون دو کارمند سابق سازمان امنیت ملی آمریکا (NSA) طراحی و ساخت چنین ابزار مخربی را که قادر به مخفی سازی خود بر روی دیسک سخت است، تائید کرده اند.

بدافزار مورد استفاده در عملیات Equation بر روی دیسک‌های سخت چندین شرکت سازنده، نظیر Seagate ،Maxtor ،WD ،Toshiba و حتی سازندگان دیسک های SSD، نظیر Micron و Samsung، شناسایی شده است.

یکی از کارشناسان ارشد Kaspersky در پاسخ به سوال سایت خبری ComputerWorld درباره امکان تشخیص آلوده بودن دیسک های سخت، پاسخ داده است که “هیچ راهی برای فهمیدن اینکه دیسک HDD آلوده است، وجود ندارد”. “پس از اینکه دیسک سخت توسط بدافزار آلوده شد، اسکن ثابت‌افزار غیرممکن است.”

به عبارت دیگر، برای اغلب دیسک های سخت، فرامین و دستوراتی برای نوشتن بخش “ثابت‌افزار” وجود دارد، ولی ابزاری برای بازخوانی آن نیست. بدافزار مورد استفاده Equation قابل تشخیص نیست زیرا “رفتار” دیسک سخت به نحوی تغییر داده می شود که امکان اسکن، رصد و یا کنترل تغییرات “ثابت افزار” وجود ندارد.

تنها کاری که می توان کرد، ردیابی و شناسایی رفتار (یا در حقیقت سوء رفتار) دیسک سخت است. این کار نیز بسیار دشوار است زیرا سوء رفتار دیسک سخت فقط در زمان راه اندازی سیستم در زمانی که هیچ چیز دیگری در حال اجرا نیست، اتفاق می افتد.

در حقیقت، چیزی که کارشناسان Kaspersky پیدا کرده اند، خود بدافزار بر روی دیسک سخت نیست. بلکه شواهدی از یک فناوری است که قادر به گنجاندن هر برنامه‌ای (code) در بخش “ثابت‌افزار” دیسک است. این فناوری می تواند سازنده و مدل دیسک را تشخیص داده و فرامین خاص آن دیسک را برای نصب بدافزار اجرا کند.

شرکت سازنده دیسک WD یا Western Digital اعلام کرده که قبل از انتشار گزارش Kaspersky اطلاعی از عملیات Equation نداشته و هیچ نوع همکاری نیز با مراکز دولتی در این زمینه نکرده است. این شرکت همچنین اعلام کرده که در حال بررسی جزئیات فنی گزارش است.

شرکت سازنده دیسک Seagate نیز هرگونه اطلاع و همکاری در زمینه عملیات Equation را رد کرده است. طبق اطلاعیه این شرکت “بیش از هفت سال است که Seagate دیسک های سخت با روش های اختصاصی رمزگذاری تولید می کند تا از دستکاری و یا مهندسی معکوس بخش ثابت‌افزار و یا دیگر فناوری های مورد استفاده این شرکت، جلوگیری کند.”

شاید با ارزش ترین ابزار در عملیات Equation، بخش مخربی به نام nls_933w.dll است. این بخش از بدافزار قادر به بازنویسی “ثابت‌افزار” دیسک سخت است. به گفته کارشناسان Kaspersky از این بخش بدافزار فقط در چند مورد خاص استفاده شده است. این نکته نشان دهنده اهمیت ویژه قربانیانی است که این بخش برای آنها فعال گردیده و یا تحت شرایط خاصی، لازم به فعالسازی این بخش بوده است.

بخش nls_933w.dll بدافزار تنها وظیفه انتقال نسخه اختصاصی از “ثابت‌افزار” را به دیسک سخت قربانی برعهده دارد. فردی که مسئول جایگزینی این نسخه جدید است باید از فرامین و دستورات صحیحی که امکان ارتباط با بخش “ثابت‌افزار” دیسک را فراهم می آورد، اطلاع داشته باشد. این فرامین و دستورات ثابت و استاندارد نیستند و خاص هر شرکت سازنده است.

برای تهیه نسخه دستکاری شده از “ثابت‌افزار” یک دیسک سخت باید به برنامه (source code) آن دسترسی داشت یا با مهندسی معکوس آنرا به دست آورد. در عملیات Equation اینکار برای دیسک های سخت بیش از 10 شرکت سازنده انجام شده است !

 

 

 

 

 

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *