Kaspersky: Zeer geavanceerde malware gevonden, waarschijnlijk van NSA

Abonneer je gratis op Techzine!

Kaspersky heeft een zeer uitgebreid beveiligingsrapport gepubliceerd waarin het soorten malware beschrijft van de zogenaamde "Equation"-groep. Deze groep is volgens Kaspersky sinds 2001 actief en ontwikkeld de meest geavanceerde malware ooit gevonden, de malware is gevonden in de firmware van harde schijven.

Volgens Kaspersky is het op de meest geavanceerde malware ooit gestuit en hoewel Kaspersky het niet 100 procent kan bewijzen wijzen ze toch richting de Amerikaanse veiligheidsdiensten, de NSA. De malware die Kaspersky heeft gevonden zit verstopt in de firmware van harde schijven van alle grote merken waaronder Hitachi, Maxtor, Samsung, Seagate, Toshiba en Western Digital. De malware is gemaakt door een groep die door de onderzoekers is gedoopt tot "Equation".

De malware maakt gebruik van verschillende kwetsbaarheden en methodes die ook in Stuxnet werden gevonden. Stuxnet was ontwikkeld om Iraanse kerncentrales plat te liggen, iets waarin de malware ook succesvol was. De malware van Equation wordt ingebracht in de firmware van harde schijf-fabrikanten en wordt geactiveerd zodra de pc wordt aangezet. De malware is door de gebruiker niet te verwijderen omdat die in de firmware zit, formatteren biedt dus geen oplossing.

De malware werkt vervolgens in fases waardoor het moeilijker is te detecteren. Eerst wordt bijvoorbeeld de identiteit van de gebruiker vastgesteld en daarna kan eventueel het systeem nog verder worden geïnfecteerd zodat meer gegevens kunnen worden buitgemaakt.

De vraag is echter hoe de geïnfecteerde firmware op de harde schijven terecht is gekomen. Heeft de NSA de harde schijven verwisseld bij het verzenden van het systeem. Heeft de NSA de firmware gestolen van de servers van de fabrikanten, vervolgens aangepast en weer teruggezet. Of heeft het de fabrikanten gewoon gedwongen om mee te werken. Reuters vroeg aan de fabrikanten om een reactie en Western Digital was de enige fabrikant die hierop wilde reageren en ontkende ooit broncode van firmware gedeeld te hebben met de NSA.

Volgens Kaspersky is het zeer moeilijk om malware te detecteren die geïnfecteerd is in de firmware van de harde schijf, nog moeilijker is het om deze malware te verwijderen.