Мощнее Stuxnet и Flame: «Лаборатория Касперского» обнаружила самого сильного на данный момент игрока в мире кибершпионажа

Однажды попав в ОС жесткого диска (не путать с ОС компьютера типа Windows/Linux), зловред остается там навсегда – его невозможно ни обнаружить, ни избавиться от него: он не может быть удален даже в случае форматирования диска.

http://www.kaspersky.ru/about/news/virus/2015/Moshhnee-Stuxnet-i-Flame

(100)
(98) Ошибся. Не 2500, а 250. Там порог 200-250, 250-400 вроде.

Хм-м-м-м...
До сих пор так и не сказал, что же это за зверь - "операционная система жесткого диска"...

(0)Это как растворитель, который растворяет все - в чем же тогда его хранят?
Если невозможно обнаружить, как же его тогда обнаружили...

(101) прошивка контроллера HDD

(102) Вероятно "невозможно обнаружить" следует читать как "невозможно обнаружить средствами, доступными обычному пользователю".

Согласен на такую формулировку, слишком уж категорична формулировка в (0).

(103) интересно, во что вшита прошивка? DSP, плис, микроконтроллер?

Вот интересно как он (вирус) прошивает флэш HDD , без его остановки ?

(107) микропрограмма HDD находится в микросхеме , а микросхема не крутится.

И вообще, вирус в HDD фигня по сравнению с флешкой.
Ведь флешка может прикинуться клавай и натайпать любую команду или даже программу так что ни один антивирь не заподозрит.

(108) Вообще то мозги у HDD вполне прошиваются , сам этим занимался . Но дело довольно геморное в идеале требующее специального железа , хотя например у Seagate можно и так, но по любому специальная утилита выполняет  Stop-count полностью останавливая перед прошивкой обмен данными встроенного контроллера с блинами . Своеобразный фриз винта , иначе кранец всем данным. Как это сделать "на ходу" у системного винта не представляю .

(100) 250 - тоже не очень. Скорее всего, ремапы реально были, в этих местах и тормозит.

(109) Диски уже идут с закладкой. Иначе смысла в закладке в диске нет - если ты можешь запустить в охраняемый периметр прошивальщик - значит это и есть самый легкий способ нарушить защиту периметра. И нефиг с прошивальщиком возиться.

Интересно, в сколково уже занялись разработкой отечественных hdd или ssd?

Компания ООО «Тайга систем», которая принадлежит InfoWatch Натальи Касперской, разработала смартфон с усиленной защитой от кибершпионажа. Аппарат TaigaPhone, который будет производиться в Китае, предназначен только для корпоративных клиентов
Пользователи ... смогут самостоятельно отключать некоторые компоненты системы. «Например, можно полностью выключить доступ к фотокамере или определение местоположения... Или сделать из телефона «кирпич», который умеет только звонить».

http://www.rbc.ru/rbcfreenews/54e5901b9a7947b39f5a948a

(113) Подозреваю, что в этот телефон будут устанавливаться особо опасные зловреды для воровства корпоративных секретов

(111) Закладка это закладка . При чем тут тогда вирус ? . Вирус (компьютерный в том числе) подразумевает копирование и размножение .

(115) Если закладки нет изначально, то как ты ее сделаешь после поставки диска? Только получив доступ в охраняемый периметр. А раз ты получил доступ без закладки - зачем нужна закладка? Это банальная бритва Оккама.

Бритва Оккама как раз и говорит от том что это ИЛИ закладка ИЛИ вирус .

Если это закладка сделанная при производстве то тогда название ветки не правильное . Если это вирус модифицирующий микрокод контроллера "потом" то интересно как это реализовано технически

Пиарится. То они супервирус обнаружили, то накрыли сеть суперхакеров, которыелярд долларов украли.
http://lenta.ru/articles/2015/02/17/yardhackers/
и все в один день, ага.

(117) Вот именно. Или вирус, или модифицируют прошивку диска до его передачи, а в этом случае способов масса. В конце-концов, есть PC-3000, есть официальные прошивальщики от того же Seagate'а.

Интересно в каких средах сие поделие работает.
Ибо если это закладка в микросхемах винта, то оно как бы к стеку TCP/IP доступ хренушки получит.

(119) Ну дык о чем и речь . Без РС-3000 или утилиты требующей кучи специальных телодвижений флэш диска фиг прошьешь . А вирус распространяется незаметно для юзверя , и работает "прозрачно"

Типа "вирус" - скачаете исходный код , скомпилируйте его , запустите на своем компьютере ))

(121) Такому юзеру можно и обычный троян подсунуть %)

(120) Среда не важна. Оно запускается первым ещё до загрузки ОС

(123) А что дальше делает ? Каким путем исполняется ? Как получает доступ к аппаратному обеспечению минуя драйверы ОС ?

>Или сделать из телефона «кирпич», который умеет только звонить».

купить нокию 3110

(124) Записывает на ФС троян, ставит его в автозапуск, сообщает админский пароль...

(123) Ага.
Бивос смотрит загрузочные девайсы. Находит винт, передает управление загрузчику. Теоретически в это время закладка может подсунуть свой код чтобы немного победакурить. Проблема в том, что во время передачи управления от бивоса к загрузчику еще не инициализированы устройства, поэтому передавать инфу какую-либо через ничего не получится. Если только оно не тянет с собой низкоуровневые драйвера для распространенных сетевых девайсов.

(126) Чтобы поставить что-то в автозапуск надо знать что за ОС стоит, где у нее автозапуск, зашифрованы ли данные и т.п. и т.д.

(127) Что мешает загрузить свою ОС, а из нее в виртуальной машине ту, что ожидает юзер?

(128) ОС 3-4 штуки всего по большому счету...

(129) А где это барахло хранить? И еще как обновлять базу драйверов, чтобы ВМ запускалась нормально а не с "БСОДами". (130) На поиск и анализ данных винта может уйти немаленькое время. Юзер заметит тормоза на запуске системы.

(131) 1. Уж на HDD вполне можно найти место ;) Драйвера обновляются штатно.
2. Искать можно и после запуска системы ;)

(131) А чего ты зловреда защищаешь-то?

(132) "2. Искать можно и после запуска системы ;)"

Теоретически, да.
Можно например хранить список названий каких-нибудь системных файлов распространенных ОС. И при загрузке закладка в контроллере может подсунуть операционной системе такой же файлик только с внедренным вирем.

(133) У тебя опять режим поиска врагов нации? ))

+(134)  В этом случае даже шифрование похоже не поможет.
В принципе если только цифровые подписи на все системные файлы вешать и сверяться при загрузке. но это будет тормозище.

(135) да

(131) > Юзер заметит тормоза на запуске системы.
Не заметит. То что ось при старте тормозит стало привычным для всех и они с секундомерами не стоят.

Ну все теперь настало время доказать свой патриотизм не словом но делом. Все истинные патриоты и те кто верит во всемирный заговор я считаю должны в едином порыве выдрать и уничтожить свои винты.

(139) А вдруг они не заражены? Сначала пусть Касперыч что-нибудь придумает

(139) Может лучше выдрать Ethernet кабель и пообломать wi-fi?

(142) супервирус распространяется через флешки

Объясните , как закладка скрывается в винче и активируется? Ведь простейшая операция типа fixmbr или dd if=/dev/nul of=/dev/hda должна стереть нафиг все что там хранится в нулевом секторе.

(145) Закладка перехватывает все обращения к нулевому сектору

(146) Ну перехватила , значит после dd if=/dev/nul в нулевом секторе вместо нулей будет фигня какая то и все сразу будет понятно. И если в такой сектор ничего записать не получится то как создать разделы?

(147) зловред держит виртуальный "нулевой" сектор в другом секторе

(146) И что потом делает ? Модифицирует загрузчик ? Под какую ОС ? А если загрузчик нестандартный ?

И зачем извращаться с кодом микроконтроллера HDD , для перехвата и подмены загрузчика , все можно сделать проще .

(148) А как зловред понимает когда надо отдавать виртуальный нулевой сектор , а когда завирусованный?

(150) Когда память ещё чистая, то себя, а когда уже загружена ОС, то виртуальный

(151) Какая память чистая?

(152) Оперативная

(153) Но контроллер HDD , где находится микрокод прошивки винчестера , не имеет доступа к оперативной памяти компьютера. Совсем.

(154) Когда управление передаётся на нулевой сектор, то уже имеет

(0) Так что делать то теперь, так и не понятно, если вирус могли установить ещё на стадии производства - как предположили в лаб.Касперского? Касперского ставить, али как? Вот не понятно есть уже лечение?

(156) Лечения пока нет. Ждём новостей.

(157) Понятно, плохо..((

(155) А если винчестер подключается вторым , ну или уже на работающей операционной системе винт подключается через USB-Box - то управление на код загрузчика не передается , и тогда по команде чтения нулевого сектора винчестер должен таки выдать зараженный mbr!

(156) Вы рано паникуете. Лаборанты Кашмарского еще вроде нигде не выкладывали прошивку винчестера с вирусным кодом , а вот заявления в стиле "мы нашли страшный вирус но его поймать невозможно" - вполне в их стиле , походу продажи у них там упали и пришло время лишний раз пропиарится.

(159) Ну может и выдаёт

(160) Я скорее поверю в заговор АНБ США, которое разместило своих зловредов во все жёсткие диски, чем в заговор Касперского, у которого упали продажи. Первое вероятнее.

(160) Про закладки ещё Сноуден расссказал ранее.

(163) закладка это не вирус . И то то пакость , но механизм совершенно разный .

Блин есть вирусная инфекции и генетические заболевания . Совершенно разные вещи .

Ну и кроме того закладка в микрокоде HDD максимум что может это его вырубить напрочь , отключив собственно контроллер . Для того что бы "сливать" например куда то инфу или что нибудь подобное , необходимы тулзы на уровне ОС

Не вижу ничего сложного, сейчас у многих производителей прошивать можно с диска из под дос, вирус создает спец раздел, переключает на него загрузку. Далее все это грузится в память, и от туда отключает жд и спокойно шьет, а пользователю показывается красивая заставка что идет обновление.

(164) Это я назвала закладки..:)
Когда вот это показали http://www.vesti.ru/doc.html?id=2303525
25 января 201522:50 Антон Лядов
Мир под колпаком: кибервойны становятся настоящим

все не очень поверили, что штаты настолько безмозглые и способны создать серию катастроф.  

Касперский позже обнародовал в (0).

(103) Прошивка - это одно, а операционная система - совсем другое. Ликбез: Основное назначение ОС (операционной системы) - это замена "машинных" команд на те команды, которые более понятны человеку. Ты вместе с Каспером хочешь сказать, что в эта хрень и живет в прошивке контроллера HDD? Или кто-то что-то спутал...
:)

Это как дебет с кредитом путать.

внезапно, в качестве прошивки может быть обычная ОС, как например линух в роутерах или какаянить Realtime ОС в промышленных компьютерах без органов взаимодействия с человеком

(167) Какое интересное трактование понятия ОС.
Всегда считал, что задача ОС, управлять доступностью имеющихся ресурсов между различными потребителями. Связь с пользователем - дело третье. Есть же операционки, в которых вообще нет взаимодействия с пользователем.

(170) Да, интересная, но бредовая трактовка.
Предлагаю в свете этого обсудить возможность наличия в микросхемах жесткого диска цветного лазерного принтера от HP или плазменного телевизора от Sony. Исходя из взгляда сквозь призму что все вокруг нас лазерные принтеры или все вокруг нас плазменные телевизоры.
:)
А по сути, да, есть моменты присущие ОС, но, если у тебя есть хвост, то ты не обязательно должен быть котом.

И то, о чем идет речь в (0), вовсе не "вирус" и даже не "супервирус", хотя признаки вируса присутствуют. Тут ничего чужеродного нет, тут все сделано так, что все это - свое - родное. Просто так сделано.

(171) Да не отмазывайся. Метанировал лужу. Признайся уже и будь спокоен.

(169) Пример хороший, но речь в (0) не идет об устройстве - агрегате - роуторе. Тут обсуждается управляющая микросхема для устройства хранения информации (а это один из элементов вычислительной системы) и наличие в ней (в этом единственном элементе) операционной системы, которую нельзя путать с Виндой. Впрочем, как я показываю, я не путаю.

(173) Ищещь сходства с собой?! Мимо!

(174) Управляющая микросхема это  часто SOC. И там есть прошивка, которая и есть ОС для данного SOC.

Эпидемия вируса АНБ распространяется по миру
http://politrussia.com/society/epidemiya-virusa-ot-724/

Спецслужбы США и Великобритании взломали крупнейшего в мире производителя SIM-карт
http://hitech.newsru.com/article/20feb2015/gemalto

(176) Если ты про систему на кристале говоришь, то очень смел, терминологически ее обзывая "операционной системой".
Признаки, да есть, если у тебя есть усы, то ты не кот.

(167) Команда "Считай мне сектор xxx" намного понятнее того, что винт реально делает для этого.

+(167) Сравни программирование дисковода и ATA диска.

Осилил прочитать отчет касперыча по вирусам.
Водители линуксов, QNXов, солярисов и прочит non-windows систем выдыхают и продолжают спокойно работать.
Вот отчет
http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/Equation_group_questions_and_answers.pdf

(182) А кто создавал эти ПО, а потом их скинул как свободное? Вот и не понятно теперь - выдыхать или нет.
Не все так просто, скорее всего...

Обнаружен вирус, шпионящий за пользователем даже после отключения смартфона
https://hi-tech.mail.ru/news/avg-found-android-virus.html?utm_source=dlvr.it&utm_medium=twitter

(184) По факту смарт не выключается . Ох уж эти журналисты , нет бы написали "Обнаружен вирус симулирующий выключения смартфона"

(182) а тем более если винт в рейде или ОС какой-нибудь гипервизор...

(185) + 1000
учитывая, что из большинства смартов батарейку не вытащить, чтобы реально отключить..:)

(187) вы под большинством ойфон подразумеваете?

(188) Нет. Вы будете удивлены, но я не люблю айфон.

(182)  а есть этот отчет на великом и могучем?

(0) WinChih научил производителей перемычки на материнки ставить по дефолту в положение запрещающее перезапись биоса (а не наоборот как было ранее).
Ждём прошивок исправляющих текущую ситуацию от производителей... отсутствие таких прошивок в течении ближайшего месяца ясно укажет на наличие заинтересованности производителей в распространении дряни.

(191) Думаю, производители будут косить под "дурачка" делая вид, что "я не я и хата не моя..":)

(192) в ИТ тех кто на этокупится нет

На самом деле, идёт заранее подготовленная компания, чтобы во всех гос-органах заменять компьютеры на модели Российского производства - платы-то с эльбрусами уже делать начали.
А как ещё убедить людей, что это нужно - так это - доказать, что любой иностранный компьютер может быть с закладкой.

Также не забываем, что обновление прошивки винта было придумано для того, чтобы в случае косяка (как это было, например, у SeaGate) пользователь мог залить новую прошивку и обойти косяк.
Проверить наличие "кривой" прошивки можно только считыванием её из контроллера, если, конечно, не стоит запрет считывания.
Конечно, прошивка считывается через тот же интерфейс, что и программируется, но никто не мешает изготовить такую прошивку, которая будет передавать совсем не то, что внутри записано (могу сказать, что сам пробовал).

И не забываем, что BIOS внутри диска начинает работать сразу после включения компьютера, пока центральный процессор ещё ждёт загрузки данных из микросхемы BIOS-а в оперативную память.
А команды зловреду можно давать просто через файл в корне диска.

(194) А команды зловреду можно давать просто через файл в корне диска.

Для этого зловред должен разбираться , какая файловая система , где в ней там корень и где в ней там файлы. Это слишком жирный зловред будет что бы запихнуть его в бивис винчестера. Гораздо проще сканировать записываемые на винч блоки на предмет нахождения в них определенной последовательности.

(194) Самое смешное, что платы делать может и начали, а винты как делали несколько заводов в мире, так и делают. И в России свои винты в ближайшее время непохоже что появятся.

Касперский в последнее время жжет... Его работников пора уже в цирке показывать.

хотя году в 1994 у меня на компе "Поиск", помнится, болгарский 5.25' винт был. Высотой сантиметров 12, весом килограмма полтора. И иногда не читался. Чтобы начал, надо было его на другой бок переложить :)

(196) И не надо нам в России завода винтов , жесткие диски это уже прошлый век , надо завод по производству SSD открывать.