nsa (Getty Images)
Da Redação
Publicado em 19 de fevereiro de 2015 às 07h55.
A Agência de Segurança Nacional dos EUA descobriu como esconder programas espiões dentro do firmware de HDs feitos por Western Digital, Seagate e Toshiba, entre outras marcas. A descoberta, que mostra um dos métodos usados pela NSA para monitorar e espionar computadores ao redor do mundo, foi feita pela Kaspersky, que não atribuiu o ataque a nenhuma organização governamental por falta de evidências. Fontes próximas à agência norte-americana, porém, confirmaram o envolvimento do órgão à Reuters.
A metodologia permaneceu em segredo até o começo desta semana, quando pesquisadores da empresa de segurança russa descreveram ataques feitos pelo Equation Group um grupo único em quase todos os aspectos de suas ações, segundo o texto. Eles usam ferramentas que são muito complicadas e caras de se desenvolver, de forma a infectar vítimas, colher dados e esconder as atividades de um modo incrivelmente profissional, escreveu a companhia
Os espiões se utilizam de implantes ou trojans , alguns descobertos e nomeados pela Kaspersky, como o EquationLaser, o EquationDrug, o GrayFish e o mais curioso Fanny. Este último é capaz de mapear e entender a topologia de redes que não podem ser alcançadas, além de executar comandos nesses sistemas isolados.
Os malware são instalados por meio de módulos que reprogramam o firmware de discos rígidos da Samsung, da Maxtor e da Hitachi, além das outras já citadas. Dessa forma, o malware espião consegue se reinstalar mesmo que o HD seja formatado e permanece indetectável mais ou menos como acontece no caso do BadUSB.
Para os ataques funcionarem, porém, brechas precisariam existir e a Kaspersky detectou pelo menos sete delas, todas sem correção, usadas pelo grupo. Uma das vulnerabilidades, aliás, estava no Firefox 17, que é parte do Tor Browser Bundle.
Por estarem ligados ao firmware, os vírus também devem ser capazes de criar uma pequena partição própria, que pode ajudar até a quebrar criptografia. Segundo a Kaspersky, o GrayFish, por exemplo, começa a funcionar a partir do boot e tem a capacidade de capturar uma senha e salvá-la nessa área escondida repassando depois a informação.
De acordo com a Reuters, informações relacionadas a essa campanha de espionagem já datam de 2001, e a equipe responsável por ela teria relação com a do Stuxnet, o vírus usado pela NSA para atacar unidades de enriquecimento de Urânio no Irã. Os alvos principais, desta vez, eram instituições militares e governamentais, empresas de telecomunicações, bancos e companhias de energia, pesquisa nuclear, mídia e ativistas islâmicos todos de países como Irã, Rússia, Paquistão, Afeganistão, Índia e China, os mais atacados.