В продолжение к http://pikabu.ru/story/_1881898
Симптомы в подробностях
Для более ясного понимания относительно того, что представляет собой семейство вредоносов BadBIOS по наблюдениям Драгоша Руйу, вот как выглядит краткий перечень его особенностей.
Данное вредоносное ПО заражает аппаратное обеспечение компьютеров на уровне флеш-прошивок. Вредонос умеет перепрошивать системный BIOS и очень гибко сопротивляется уничтожению, размещая свои фрагменты не только в микрокодах прошивок, но и в служебных разделах жесткого диска. Даже после заливания в память BIOS законной прошивки вместе с полной зачисткой диска BadBIOS все равно вновь обнаруживается в системе.
Вредонос BadBIOS имеет свой собственный гипервизор, или «монитор виртуальных машин». То есть программу, которая
же
том
и
одном
на
операционных систем
несколько
одновременно
запустить
позволяет
обеспечивает изоляцию ОС друг от друга и разделение ресурсов машины между различными запущенными ОС. Фактически гипервизор сам по себе является минимальной операционной системой.
Среди очень гибких коммуникационных возможностей BadBIOS выявлены способности коммуникаций через «что-то типа SDR» (программно задаваемое радио) — для организации моста связи через «воздушный зазор» (airgap). Как результат,
ситуациях,
тех
в
даже
информацию
передавать/принимать
дистанционно
способен
BadBIOS
отсоединены кабели сети и питания, а карты беспроводной сетевой связи и Bluetooth физически удалены из системы.
Тем исследователям, кто заметил проблемы с BIOS и хотел бы поискать признаки BadBIOS у себя, Руйу рекомендует в сетевых коммуникациях повнимательнее присмотреться к пакетам DHCP. По его наблюдениям, в поле HostOptions этих пакетов вредонос, похоже, передает зашифрованные команды TLS.
Когда BIOS системы заражен, он в большинстве случаев не позволяет администратору машины загружаться с внешних устройств, вне зависимости от установок системы. Как правило, загрузка переводится на внутренний диск.
BadBIOS обнаружен в компьютерах, работающих под всеми версиями ОС Windows вплоть до восьмой, но при этом вредонос явно продемонстрировал платформенную независимость, поскольку с тем же успехом способен заражать и системы под ОС BSD, и машины под разными версиями OS фирмы Apple.
BadBIOS перепрошивает все USB-диски и флешки, вставленные в зараженную систему, включая внешние USB CD-приводы. Инфекция никак не затрагивает файлы на USB, а поражает напрямую прошивку.
Просто вставить зараженную USB-флешку в чистую прежде машину — даже не монтируя накопитель в систему — уже достаточно, чтобы инфицировать очередной компьютер. Причем срабатывает инфекция и в тех случаях, когда, скажем, флешка от Windows-машины вставляется в прежде чистую систему под xBSD.
ведет
образом,
небезопасным
системы
из зараженной
извлечен
USB-накопитель, который
попытаться вставить его в чистую машину. Однако мертвое устройство «оживает», если вставить его обратно в зараженный компьютер...
И что, наконец, осталось для Драгоша Руйу совершенно неясным даже после трех лет исследований неискоренимой заразы —какова же, собственно, цель этого повсюду расползающегося в его лаборатории вредоноса?
Что говорят специалисты
Относительно последнего вопроса — о цели подсаживания невредящего вредоноса — наиболее содержательно могли бы, в принципе, рассказать нам компетентные люди из государственных разведслужб. Но они, как известно, никогда не дают комментариев по вопросам своей оперативной работы.
Кое-что по существу, впрочем, можно найти в самых первых заявлениях широко известного ныне человека по имени Эдвард Сноуден. Который выразил свое категорическое несогласие с тем, что АНБ США и близкородственные разведки стран вроде Канады или Британии методами продвинутого хакинга массово берут под свой контроль фактически все мало-мальски интересные для них компьютерные системы — до которых только могут дотянуться. На всякий случай, дабы, если что, был бы уже готовый плацдарм на будущее. По убеждению Сноудена, эта глубоко укоренившаяся в национальных спецслужбах позиция — «сделать всех, потому что мы это можем» — является в корне ошибочной. А общество, уверен он, должно достоверно знать о подобного рода вещах, которые власти делают в тайне и якобы во имя общественных интересов.
От этого пассажа знаменитого диссидента самое время перейти к реакции того самого общества, которому Драгош Руйу ныне в подробностях пытается рассказать, до какой степени беззащитными являются в действительности все наши компьютеры. Так вот, если почитать комментарии почти в любом онлайновом обсуждении новостей о BadBIOS, то в массе своей добрый народ либо называет известного компетентного исследователя просто идиотом, либо делает вывод, что у него паранойя от переутомления, либо, наконец, предполагается, что это он так неудачно шутит. Короче говоря, широкая публика совершенно не готова принять неприятную новость как эмпирически установленный факт.
Самые же здравые комментарии на данный счет звучат, естественно, от людей действительно сведущих в проблемах компьютерной безопасности. Причем, как правило, чем больше компетентность говорящего, тем больше он склонен доверять информации от Руйу. Потому что действительно знающие специалисты сообщества инфобезопасности давно, в общем-то, в курсе, что каждая из выявленных в BadBIOS особенностей, если рассматривать ее отдельно от прочих, отнюдь не является невероятной. Более того, все это реально уже наблюдалось в природе — либо на хакерских конференциях, либо в гуляющих по Сети вредоносах, либо, наконец, в кибервоенном инструментарии спецслужб — типа небезызвестных программ Stuxnet, Duqu и Flame. Другое дело, что обнаружить теперь сразу все эти изощренные и крайне трудно искоренимые угрозы вот так — в одном флаконе — это и вправду шок, и воистину поразительно даже для людей искушенных. И если (как говорит один из таких комментаторов) всей этой истории уже три года, то даже подумать страшно, как может выглядеть сегодняшняя версия подобного монстра...
Экскурс в хронологию
Дабы стало яснее, что эта невеселая сага в действительности тянется вовсе не три года, а по меньшей мере уже лет
истории
общей
из
факты
специфические
кое-какие
напомнить
полезно
пятнадцать,
государственных разведслужб и соответствующих изысканий профессионалов в области инфобезопасности.
Про этапы развития разведки в этом направлении говорить проще всего, потому что никаких конкретных документов на данный счет пока что практически нет. А имеется лишь свидетельство от Эдварда Сноудена, которому есть все основания
полтора
минимум
как
уже
США
что
сообщил,
2013-го
июне
в
который
и
доверять
широкомасштабными компьютерными проникновениями как против Китая, так и против множества других разных стран, включая собственных союзников.
О том, как это происходило с технической точки зрения, нам может в общих чертах поведать история компьютерной индустрии за соответствующий период. Благо она известна гораздо лучше, чем новейшая история секретных спецслужб. А по документам от того же Сноудена уже все прекрасно знают, в сколь тесном альянсе работают американская ИТ-индустрия и разведка США...
Если начинать с момента рождения, то, как свидетельствуют предания из совсем глубокой старины, в конце 1970-х годов разработчики легендарной машины IBM PC считали BIOS вовсе не фундаментально важным компонентом своей конструкции, а лишь временной мерой, рассчитанной от силы на 250 тысяч первых персональных компьютеров. Но жизнь, как известно, распорядилась иначе, и на несколько десятилетий «базовая система команд ввода/вывода» (Basic Input Output System), зашитая в микросхему на системной плате, стала главным связующим звеном между «железом» и ПО, которое стартует сразу при включении компьютера.
На протяжении своей долгой истории система BIOS, как и сопряженные с ней технологии, претерпевали, естественно, всевозможные доработки и модификации, некоторые из которых здесь следует упомянуть особо.
Для более ясного понимания относительно того, что представляет собой семейство вредоносов BadBIOS по наблюдениям Драгоша Руйу, вот как выглядит краткий перечень его особенностей.
Данное вредоносное ПО заражает аппаратное обеспечение компьютеров на уровне флеш-прошивок. Вредонос умеет перепрошивать системный BIOS и очень гибко сопротивляется уничтожению, размещая свои фрагменты не только в микрокодах прошивок, но и в служебных разделах жесткого диска. Даже после заливания в память BIOS законной прошивки вместе с полной зачисткой диска BadBIOS все равно вновь обнаруживается в системе.
Вредонос BadBIOS имеет свой собственный гипервизор, или «монитор виртуальных машин». То есть программу, которая
же
том
и
одном
на
операционных систем
несколько
одновременно
запустить
позволяет
обеспечивает изоляцию ОС друг от друга и разделение ресурсов машины между различными запущенными ОС. Фактически гипервизор сам по себе является минимальной операционной системой.
Среди очень гибких коммуникационных возможностей BadBIOS выявлены способности коммуникаций через «что-то типа SDR» (программно задаваемое радио) — для организации моста связи через «воздушный зазор» (airgap). Как результат,
ситуациях,
тех
в
даже
информацию
передавать/принимать
дистанционно
способен
BadBIOS
отсоединены кабели сети и питания, а карты беспроводной сетевой связи и Bluetooth физически удалены из системы.
Тем исследователям, кто заметил проблемы с BIOS и хотел бы поискать признаки BadBIOS у себя, Руйу рекомендует в сетевых коммуникациях повнимательнее присмотреться к пакетам DHCP. По его наблюдениям, в поле HostOptions этих пакетов вредонос, похоже, передает зашифрованные команды TLS.
Когда BIOS системы заражен, он в большинстве случаев не позволяет администратору машины загружаться с внешних устройств, вне зависимости от установок системы. Как правило, загрузка переводится на внутренний диск.
BadBIOS обнаружен в компьютерах, работающих под всеми версиями ОС Windows вплоть до восьмой, но при этом вредонос явно продемонстрировал платформенную независимость, поскольку с тем же успехом способен заражать и системы под ОС BSD, и машины под разными версиями OS фирмы Apple.
BadBIOS перепрошивает все USB-диски и флешки, вставленные в зараженную систему, включая внешние USB CD-приводы. Инфекция никак не затрагивает файлы на USB, а поражает напрямую прошивку.
Просто вставить зараженную USB-флешку в чистую прежде машину — даже не монтируя накопитель в систему — уже достаточно, чтобы инфицировать очередной компьютер. Причем срабатывает инфекция и в тех случаях, когда, скажем, флешка от Windows-машины вставляется в прежде чистую систему под xBSD.
ведет
образом,
небезопасным
системы
из зараженной
извлечен
USB-накопитель, который
попытаться вставить его в чистую машину. Однако мертвое устройство «оживает», если вставить его обратно в зараженный компьютер...
И что, наконец, осталось для Драгоша Руйу совершенно неясным даже после трех лет исследований неискоренимой заразы —какова же, собственно, цель этого повсюду расползающегося в его лаборатории вредоноса?
Что говорят специалисты
Относительно последнего вопроса — о цели подсаживания невредящего вредоноса — наиболее содержательно могли бы, в принципе, рассказать нам компетентные люди из государственных разведслужб. Но они, как известно, никогда не дают комментариев по вопросам своей оперативной работы.
Кое-что по существу, впрочем, можно найти в самых первых заявлениях широко известного ныне человека по имени Эдвард Сноуден. Который выразил свое категорическое несогласие с тем, что АНБ США и близкородственные разведки стран вроде Канады или Британии методами продвинутого хакинга массово берут под свой контроль фактически все мало-мальски интересные для них компьютерные системы — до которых только могут дотянуться. На всякий случай, дабы, если что, был бы уже готовый плацдарм на будущее. По убеждению Сноудена, эта глубоко укоренившаяся в национальных спецслужбах позиция — «сделать всех, потому что мы это можем» — является в корне ошибочной. А общество, уверен он, должно достоверно знать о подобного рода вещах, которые власти делают в тайне и якобы во имя общественных интересов.
От этого пассажа знаменитого диссидента самое время перейти к реакции того самого общества, которому Драгош Руйу ныне в подробностях пытается рассказать, до какой степени беззащитными являются в действительности все наши компьютеры. Так вот, если почитать комментарии почти в любом онлайновом обсуждении новостей о BadBIOS, то в массе своей добрый народ либо называет известного компетентного исследователя просто идиотом, либо делает вывод, что у него паранойя от переутомления, либо, наконец, предполагается, что это он так неудачно шутит. Короче говоря, широкая публика совершенно не готова принять неприятную новость как эмпирически установленный факт.
Самые же здравые комментарии на данный счет звучат, естественно, от людей действительно сведущих в проблемах компьютерной безопасности. Причем, как правило, чем больше компетентность говорящего, тем больше он склонен доверять информации от Руйу. Потому что действительно знающие специалисты сообщества инфобезопасности давно, в общем-то, в курсе, что каждая из выявленных в BadBIOS особенностей, если рассматривать ее отдельно от прочих, отнюдь не является невероятной. Более того, все это реально уже наблюдалось в природе — либо на хакерских конференциях, либо в гуляющих по Сети вредоносах, либо, наконец, в кибервоенном инструментарии спецслужб — типа небезызвестных программ Stuxnet, Duqu и Flame. Другое дело, что обнаружить теперь сразу все эти изощренные и крайне трудно искоренимые угрозы вот так — в одном флаконе — это и вправду шок, и воистину поразительно даже для людей искушенных. И если (как говорит один из таких комментаторов) всей этой истории уже три года, то даже подумать страшно, как может выглядеть сегодняшняя версия подобного монстра...
Экскурс в хронологию
Дабы стало яснее, что эта невеселая сага в действительности тянется вовсе не три года, а по меньшей мере уже лет
истории
общей
из
факты
специфические
кое-какие
напомнить
полезно
пятнадцать,
государственных разведслужб и соответствующих изысканий профессионалов в области инфобезопасности.
Про этапы развития разведки в этом направлении говорить проще всего, потому что никаких конкретных документов на данный счет пока что практически нет. А имеется лишь свидетельство от Эдварда Сноудена, которому есть все основания
полтора
минимум
как
уже
США
что
сообщил,
2013-го
июне
в
который
и
доверять
широкомасштабными компьютерными проникновениями как против Китая, так и против множества других разных стран, включая собственных союзников.
О том, как это происходило с технической точки зрения, нам может в общих чертах поведать история компьютерной индустрии за соответствующий период. Благо она известна гораздо лучше, чем новейшая история секретных спецслужб. А по документам от того же Сноудена уже все прекрасно знают, в сколь тесном альянсе работают американская ИТ-индустрия и разведка США...
Если начинать с момента рождения, то, как свидетельствуют предания из совсем глубокой старины, в конце 1970-х годов разработчики легендарной машины IBM PC считали BIOS вовсе не фундаментально важным компонентом своей конструкции, а лишь временной мерой, рассчитанной от силы на 250 тысяч первых персональных компьютеров. Но жизнь, как известно, распорядилась иначе, и на несколько десятилетий «базовая система команд ввода/вывода» (Basic Input Output System), зашитая в микросхему на системной плате, стала главным связующим звеном между «железом» и ПО, которое стартует сразу при включении компьютера.
На протяжении своей долгой истории система BIOS, как и сопряженные с ней технологии, претерпевали, естественно, всевозможные доработки и модификации, некоторые из которых здесь следует упомянуть особо.