Kaspersky scopre spyware nascosto negli hard disk

Un gruppo di cybercriminali ha creato spyware che permettono di rubare informazioni sensibili. Uno dei tool può riprogrammare il firmware degli hard disk.
Kaspersky scopre spyware nascosto negli hard disk
Un gruppo di cybercriminali ha creato spyware che permettono di rubare informazioni sensibili. Uno dei tool può riprogrammare il firmware degli hard disk.

Kaspersky ha scoperto un enorme “arsenale” di malware utilizzato per infettare migliaia di computer in oltre 30 paesi. La software house russa ha individuato anche i responsabili degli attacchi contro vittime di alto profilo che lavorano in svariati settori: The Equation Group. Il gruppo di cybercriminali, probabilmente finanziato dai governi, sfrutta diverse tecniche per installare spyware nei sistemi target, alcuni dei quali nascosti nei firmware degli hard disk.

A fine dicembre 2013, il settimanale tedesco Der Spiegel aveva individuato l’esistenza di un catalogo di strumenti hardware e software che permettono alla NSA di intercettare le comunicazioni degli utenti. Uno dei metodi prevedeva l’installazione di malware e backdoor nei firmware degli hard disk. Le fonti contattate dalla Reuters, tra cui un ex dipendente, confermano che dietro The Equation Group si cela proprio l’agenzia statunitense.

Secondo Kaspersky, il gruppo opera da almeno 13 anni, durante i quali ha sviluppato malware e tecniche di una complessità mai vista finora. Tra i tool che compongono la suite di spyware, il più potente è quello che permette di riprogrammare il firmware degli hard disk prodotti da Western Digital, Seagate, Samsung, Toshiba e Hitachi. Il codice infetto non può essere rilevato e cancellato in nessun modo, nemmeno con la formattazione del disco. Il malware, caricato in un’area nascosta, permette non solo di rubare informazioni riservate, ma anche di eludere la crittografia usata per proteggere il contenuto del disco.

I dati raccolti dagli spyware vengono inviati ad oltre 100 server ospitati in vari paesi, tra cui l’Italia. Considerata la complessità degli attacchi è probabile che i cybercriminali siano venuti in possesso del codice sorgente dei firmware. Alcuni produttori, tra cui Western Digital, hanno negato di aver consegnato il codice alla NSA o ad altre agenzie. Per infettare gli hard disk, The Equation Group ha inviato comandi remoti via web oppure intercettato i prodotti in consegna (conoscendo il destinatario) e sostituito i dischi con unità infette.

Ti consigliamo anche

Link copiato negli appunti