Gli esperti di Kaspersky hanno scoperto un malware inserito direttamente nei firmware degli hard disk di tutte le marche. È legato direttamente a Stuxnet e Flame, e si può pertanto ipotizzare un vincolo con la NSA (National Security Agency), l'agenzia statunitense famosa per le sue operazioni di sorveglianza digitale globale.
Kaspersky indica come autore il misterioso "Equation Group", una team definito "unico sotto molti aspetti", per gli strumenti avanzati e costosi di cui dispone, nonché la sorprendente abilità nel nascondere le propria attività. Gli strumenti in particolare sono stati ribattezzati da Kaspersky EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny e GrayFish.
Gli esperti di Kaspersky hanno recuperato "due moduli che permettono di riprogrammare il firmware dell'hard disk di più di una dozzina delle popolari marche di HDD. Questo è forse il tool più potente dell'arsenale del gruppo Equation e il primo malware conosciuto in grado di infettare il disco rigido", si legge sul comunicato inviato dall'azienda russa.
"Riprogrammando il firmware dell'hard disk il gruppo raggiunge due obiettivi", continua la nota Kaspersky. Da una parte il malware è impossibile da rimuovere anche con una formattazione del disco stesso. Costin Raiu (Kaspersky) aggiunge inoltre che è molto difficile individuare un firmware infetto, proprio perché mancano strumenti per la lettura.
Il secondo obiettivo è che questa infezione può "creare un'area invisibile e persistente nascosta all'interno dell'hard drive che viene usata per salvare le informazioni estrapolate che, in un secondo momento, potranno essere recuperate dai criminali. Inoltre, in alcuni casi potrebbe aiutare il gruppo a superare la cifratura del disco".
Sorprendente anche il worm Fanny, studiato per attaccare computer e reti isolate da Internet tramite chiavette USB e periferiche appositamente modificate e ritenute sicure dalla vittime. "Nello specifico, una chiavetta USB con un'area di archiviazione nascosta è stata usata per raccogliere informazioni di base del sistema da un computer non connesso a Internet, e per inviarle al C&C quando la chiavetta è stata inserita in un computer infettato da Fanny e connesso a Internet. Se i criminali avessero voluto eseguire comandi nelle reti con protezione air-gap, avrebbero potuto salvarli nell'area nascosta della chiavetta USB. Una volta inserita la chiavetta nel computer protetto, Fanny avrebbe riconosciuto ed eseguito il comando".
Come arrivare a infettare i PC delle vittime? Ci sono i classici strumenti web, come il phishing, ma anche sofisticate strategie che passano dalla sostituzione dell'hardware. Una volta raggiunto il computer della vittima e modificato il firmware dell'hard disk, si ha una testa di ponte perfetta per avanzate operazioni di spionaggio.
"In un attacco di questo tipo sono stati coinvolti i partecipanti di una conferenza scientifica a Houston: appena tornati a casa hanno ricevuto una copia dei materiali della conferenza su un CD-ROM che veniva usato per installare l'impianto DoubleFantasy del gruppo direttamente nel dispositivo preso di mira. Le modalità con cui i CD venivano interdetti è sconosciuta".
Poche righe, ma sufficienti a capire che il gruppo Equation è composto di professionisti molto abili che padroneggiano diversi campi, ben oltre la "semplice" programmazione di malware. Sempre secondo Kaspersky inoltre il gruppo ha un'estesa struttura di controllo con server in molti paesi, e ha colpito migliaia di "vittime di alto profilo" in tutto il mondo, "forse persino decine di migliaia in più di 30 Paesi in tutto il mondo, coinvolgendo i seguenti settori: governo e istituzioni diplomatiche, telecomunicazioni, industria aerospaziale, energia, ricerca nucleare, oil and gas, settore militare, nanotecnologie, attivisti e studiosi islamici, mass media, trasporti, istituti finanziari e aziende che sviluppano tecnologie di criptaggio".
 | Kaspersky Lab Internet Security 2015, 1u, 1Y | |
 | Kaspersky Lab Anti-Virus 2015, 3u, 1Y | |
 | Kaspersky Sw Pc Kaspersky Int.Sec. 2015 3Lic. AGG |
Insomma, se Kaspersky ha ribattezzato il gruppo Equation "La Morte Nera dalla Galassia Malware" forse non è solo un'esagerata citazione cinematografica. Questo misterioso team di spie sembra davvero possedere una potenza di fuoco senza precedenti, e a quanto pare non ha paura di usarla. Meglio evacuare le truppe ribelli finché c'è tempo.