A Agência de Segurança Nacional dos EUA descobriu como esconder programas espiões dentro do firmware de HDs feitos por Western Digital, Seagate e Toshiba, entre outras marcas. A descoberta, que mostra um dos métodos usados pela NSA para monitorar e espionar computadores ao redor do mundo, foi feita pela Kaspersky, que não atribuiu o ataque a nenhuma organização governamental por falta de evidências. Fontes próximas à agência norte-americana, porém, confirmaram o envolvimento do órgão à Reuters.

A metodologia permaneceu em segredo até o começo desta semana, quando pesquisadores da empresa de segurança russa descreveram ataques feitos pelo Equation Group – um grupo “único em quase todos os aspectos de suas ações”, segundo o texto. “Eles usam ferramentas que são muito complicadas e caras de se desenvolver, de forma a infectar vítimas, colher dados e esconder as atividades de um modo incrivelmente profissional”, escreveu a companhia

Os espiões se utilizam de “implantes” – ou trojans –, alguns descobertos e nomeados pela Kaspersky, como o EquationLaser, o EquationDrug, o GrayFish e o mais curioso Fanny. Este último é capaz de mapear e “entender a topologia de redes que não podem ser alcançadas, além de executar comandos nesses sistemas isolados”.

Os malware são instalados por meio de módulos que reprogramam o firmware de discos rígidos da Samsung, da Maxtor e da Hitachi, além das outras já citadas. Dessa forma, o malware espião consegue se reinstalar mesmo que o HD seja formatado e permanece indetectável – mais ou menos como acontece no caso do BadUSB.

Para os ataques funcionarem, porém, brechas precisariam existir – e a Kaspersky detectou pelo menos sete delas, todas sem correção, usadas pelo grupo. Uma das vulnerabilidades, aliás, estava no Firefox 17, que é parte do Tor Browser Bundle.

Por estarem ligados ao firmware, os vírus também devem ser capazes de criar uma pequena partição própria, que pode ajudar até a quebrar criptografia. Segundo a Kaspersky, o GrayFish, por exemplo, começa a funcionar a partir do boot e tem a “capacidade de capturar uma senha e salvá-la nessa área escondida” – repassando depois a informação.

De acordo com a Reuters, informações relacionadas a essa campanha de espionagem já datam de 2001, e a equipe responsável por ela teria relação com a do Stuxnet, o vírus usado pela NSA “para atacar unidades de enriquecimento de Urânio no Irã”. Os alvos principais, desta vez, eram instituições militares e governamentais, empresas de telecomunicações, bancos e companhias de energia, pesquisa nuclear, mídia e ativistas islâmicos – todos de países como Irã, Rússia, Paquistão, Afeganistão, Índia e China, os mais atacados.

Clique para abrir o link no navegador