A neves orosz biztonságtechnikai vállalat, a Kaspersky Labs szakemberei a napokban meglehetősen érdekes információról rántották le a leplet, amely arról ad képet, mennyire kifinomult eszközökkel kémkedett célpontjai ellen az amerikai kémszervezet, az NSA.
A Kaspersky Labs beszámolója szerint az NSA speciális csoportja, az Equation Group olyan kártékony kódot fejlesztett ki, amelyet a merevlemez firmware-ébe ágyazva hátsó ajtó nyitható az áldozat számítógépén, így gyakorlatilag szabadon kémkedhetnek utána. A hátsó ajtón keresztül különböző szoftverek telepíthetőek, de a merevlemez mélyformázására, a fájlrendszer formázására, illetve a PC irányításának átvételére is van mód. Ijesztő, de a kártékony kóddal ellátott firmware egy rejtett adattároló részt hozhat létre az adott merevlemezen, amely a katonai szintű HDD törlést, illetve az újraformázást is átvészeli, így az itt tárolt adatok a HDD újraformázása és az operációs rendszer újratelepítése után is elérhetőek maradnak. A fertőzést annak kifinomultsága miatt természetesen szinte lehetetlen felfedezni, jellegéből adódóan pedig eltávolítására sincs mód.
Hogy mely vállalatok érintettek? Gyakorlatilag minden HDD gyártó, kezdve a koreai Samsungtól, a japán Hitachin és a Toshibán át egészen az amerikai Seagate-ig, illetve Western Digitalig. További érdekesség, hogy a HDD piacon az elmúlt években tapasztalható átalakulás miatt a korábbi három helyett most már csak egy nemzet kezében összpontosul a HDD gyártás.
A kémkedés legalább 42 ország célpontjaira terjedt ki, amelyek között kormányzatok, katonai szervezetek, telekommunikációs vállalatok, bankok, nukleáris létesítmények, iszlám szervezetek és a média különböző képviselői is jelen voltak. A legtöbb fertőzést Iránban regisztrálták, de Oroszországban, Pakisztánban, Afganisztánban, Kínában, Malin, Szíriában, Jemenben és Algériában is igen aktív volt a kémprogram.
A merevlemez firmware-ébe ágyazott hátsó ajtó minden egyes PC indításkor aktiválódhat, így a kémek hozzáférhetnek a kritikus operációs rendszer komponensekhez, a merevlemezen tárolt adatokhoz és akár még a helyi hálózathoz is. Mivel a merevlemezek firmware-e a különböző biztonsági megoldásoknak köszönhetően utólag nem visszafejthető, így az NSA szakembereinek más módszert kellett találniuk a fertőzésre. Egy korábbi NSA alkalmazott szerint erre is van megoldás: a hivatal elkérheti ellenőrzésre az adott gyártótól a merevlemez firmware-ét, de ha ez nem vezet eredményre, akár szoftverfejlesztőnek álcázva is hozzájuthat. Ez persze így sem magyarázza meg azt, hogyan kerülhetnek "preparált" szoftverek sorozatgyártásban lévő merevlemezekre. A Seagate és a WD tájföldi és kínai üzemeiben nagyon komoly biztonsági szint garantálja a szabotázs elhárítását, így nehéz elképzelni, hogyan valósították meg a projektet az NSA szakemberei az adott gyártó vagy gyártók közreműködése nélkül. Sokat elárul a probléma súlyosságáról az is, hogy a fentiekben leírt kémkedés a jelentések alapján legalább 2001 óta, azaz 14 éve zajlik.
Érdekesség, hogy a Reuters egyik munkatársának, Joseph Menn-nek két korábbi kormányzati alkalmazott is megerősítette, a Kaspersky Labs kutatásának eredményei korrektek, azaz valóban létezik a fentiekben tárgyalt kártékony kód. Az NSA illetékesei nem kommentálták a Kaspersky Labs állításait, de ez aligha meglepő.
