1) Notícia em português:
http://g1.globo.com/tecnologia/noticia/2015/02/supervirus-equation-e-capaz-de-infectar-hardware-do-disco-rigido.html
"A fabricante de antivírus russa Kaspersky Lab divulgou detalhes técnicos de uma série de ataques batizada pela empresa de "Equation". Especialistas da companhia chamaram os códigos usados pelos ataques de "a Estrela da Morte da galáxia dos malwares", em referência à arma da série "Guerra nas estrelas" capaz de destruir planetas.
As informações foram publicadas nesta segunda-feira (16), junto de uma palestra sobre os ataques apresentada no Security Analyst Summit (SAS), um evento promovido pela Kaspersky Lab que ocorre em Cancun, no México.
O Equation engloba uma série de programas de espionagem usados para roubar informações de instituições financeiras, governamentais e militares, além de atacar organizações de setores como comunicação, pesquisa nuclear, nanotecnologia e empresas de segurança envolvidas no desenvolvimento de criptografia.
Os códigos foram usados apenas contra alvos específicos de espionagem. Os países mais atacados são o Irã, a Rússia e o Paquistão, o Afeganistão, a Índia, a China, a Síria e Mali. No Brasil, uma organização do setor de aeronáutica teria sido invadida pelos espiões. A Kaspersky Lab estima que há pelo menos 500 vítimas do Equation no mundo.
Um dos componentes das pragas do grupo, chamado de "nls_933w.dll", é capaz de reprogramar o firmware de discos rígidos. O firmware é o software que controla a operação básica do disco, o que significa que o vírus infecta o próprio disco rígido, não apenas os dados nele armazenados. O firmware também controla sua própria memória, por isso o único meio garantido de remover o vírus é retirando e reprogramando fisicamente o chip do disco, o que nem sempre é possível sem danificar o hardware.
Ataques contra hardware são dificultados pelas diferenças entre fabricantes, mas isso não impediu os programadores do Equation. O "nls_933w.dll" consegue funcionar em equipamentos de mais de uma dúzia" de marcas, incluindo Seagate, Western Digital, Samsung, Toshiba, Maxtor e IBM. Apesar de a função estar presente, ela foi raramente usada, segundo a Kaspersky Lab.
Nos casos em que o disco rígido foi alterado, o vírus ganhou acesso a compartimentos de armazenamento "secretos" que não são removidos pela formatação, garantindo a permanência do código espião no sistema infectado."
(...)
2) O setor aeroespacial brasileiro - a confirmar - foi uma das vítimas conhecidas. Trata-se da principal "suite" de ataque da NSA, capaz - entre outras coisas - de infectar firmware de dezenas de fabricantes de HD, inclusive, para sobrevive a formatações..
3) Blog Post inicial da Kaspersky - sobre o tema:
http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
4) Report Técnico (incluindo os IoCs - indicators of compromise) da Kaspersky:
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
5) Outras assinaturas Yara relacionadas a campanha:
http://pastebin.com/P0Fb9DPb - não divulgados pelas Kaspersky
6) Samples (espécimes para análise): Cuidado!
https://www.dropbox.com/s/latggdox9s3xv4t/Equation_x86_x64.zip?dl=0 - não divulgados pelas Kaspersky
7) Alguns exploits utilizados pelo "Equation" foram também usados pelo Stuxnet depois (ao menos 4 "0days" na lista):
- Windows Kernel EoP exploit used in Stuxnet 2009 (atempsvc.ocx) fixed with MS09-025. (CVE unknown).
- TTF exploit fixed with MS12-034 (possibly CVE-2012-0159).
- TTF exploit fixed with MS13-081 (possibly CVE-2013-3894).
- LNK vulnerability as used by Stuxnet. (CVE-2010-2568).
- CVE-2013-3918 (Internet Explorer).
- CVE-2012-1723 (Java).
- CVE-2012-4681 (Java).
8) O ponto mais crítico / novo / interessante do relatório está na descrição módulo de persistência em firmwares de mais de uma dezena de fabricantes de HD. O conhecimento do código fonte destes firmwares pelo governo americano facilita este tipo de funcionalidade. Isto se dá possivelmente se a requerimentos como os previstos no NIST FIPS 140 Cryptographic Module Validation Program (CMVP)." (veja o slide 20) "source review" - além de outras possíveis alternativas - mais intrusivas.
Descrição deste módulo:
"The plugin supports two main functions: reprogramming the HDD firmware with a custom payload from the EQUATION group, and providing an API into a set of hidden sectors (or data storage) of the hard drive"
(...)
"The main function to reflash the HDD firmware receives an external payload, which can be compressed by LZMA. The disk is targeted by a specific serial number and reprogrammed by a series of ATA commands. For example, in the case of Seagate drives, we see a chain of commands: “FLUSH CACHE” (E7) → “DOWNLOAD MICROCODE” (92) → “IDENTIFY DEVICE” (EC) → WRITE “LOG EXT” (3F). Depending on the reflashing request, there might be some unclear data manipulations written to the drive using “WRITE LOG EXT” (3F). For WD drives, there is a sub-routine searching for ARM NOP opcodes in read data, and then used further in following writes. Overall, the plugin uses a lot of undocumented, vendor-specific ATA commands, for the drives mentioned above as well as all the others"
Lista de Dispositivos suportados:
• “WDC WD”, <Western Digital Technologies Inc> additional vendor specific checks used
• “ST”, “Maxtor STM”, “SEAGATE ST”, <Seagate Technology>
• “SAMSUNG”, <SAMSUNG ELECTRONICS CO., LTD.>
• “WDC WD”, <Western Digital Technologies, Inc.> additional vendor specific checks used
• <HGST a Western Digital Company>, “IC”, “IBM”, “Hitachi”, “HTS”, “HTE”,“HDS”, “HDT”, “ExcelStor”
• “Max”, “Maxtor STM”
• <MICRON TECHNOLOGY, INC.>, “C300”, “M4”
• <HGST a Western Digital Company>, <TOSHIBA CORPORATION>
• “OCZ”, “OWC”, “Corsair”, “Mushkin” additional vendor specific checks used
• <Samsung Electronics Co., Ltd., Storage System Division>, <SeagateTechnology>, <SAMSUNG ELECTRONICS CO., LTD.> +additional checks
• <TOSHIBA CORPORATION COMPUTER DIVISION>, “TOSHIBA M” +checks
• <Seagate Technology>, “ST”
9) Mapa da vítimas identificadas:
10) Número de vítimas: cerca de 2000 por mês (estimativa baseada em um contador encontrado pela Kaspersky em uma das campanhas do "Equation").
