Spyware en firmware de discos duros ¿obra de la NSA?
Los expertos de la empresa de Seguridad Informática rusa Kaspersky Lab. informaron la detección de un malware de tipo spyware en el firmware de discos rígidos Western Digital, Seagate, Toshiba, IBM y otros fabricantes, con el fin de recolectar datos o espiar objetivos de alto nivel.
Kaspersky Labs. descubrió que computadoras de 30 países estaban infectadas, principalmente aquellas que se encontraban en instituciones gubernamentales y militares de países como Irán, Rusia, China, Pakistán, Afganistán, Siria, Argelia y México.
La empresa rusa publicó un informe en el que explica el modo en que el grupo EQUATION, una célula de espionaje relacionada con la NSA que opera desde el año 2001, logró infectar el firmware de los discos duros. Kaspersky analizó dos módulos de reprogramación: uno perteneciente a la plataforma EQUATIONDRUG (desarrollada entre 2003 y 2013) y otro a su sucesora, Grayfish.
Lo interesante del funcionamiento de este Spyware es que genera una copia de sí mismo que se ubica en el sector de ejecución del firmware del disco duro, o sea en una de las memorias físicas de la placa electrónica del dispositivo y no en la zona de almacenamiento de datos. Debido a esto, el formateo del disco, aún si fuera de bajo nivel y con el objetivo de volver su información irrecuperable, o incluso la actualización de la versión del firmware, no borrarían el malware.
Según las investigaciones de Kaspersky Lab., este spyware es capaz de infectar seis modelos de discos duros de marcas Maxtor, Seagate, Western Digital y Samsung.
Constin Raiu, investigador de Kaspersky, explicó que para realizar esta acción es necesario tener acceso al código fuente tanto del hardware como del firmware de los discos duros. Si bien Western Digital y Seagate aseguraron que no suministraron estos códigos fuente a la NSA y que cuentan con medidas de seguridad que evitan ingeniería inversa, la realidad es que con los conocimientos adecuados de informática y electrónica, se puede decodificar el funcionamiento de cualquier componente de una computadora de venta libre. Las computadoras de uso militar o gubernamental pueden tener mayores niveles de protección.
Por otro lado, se debe tener en cuenta que, a consecuencia de la Patriot Act del 2001, toda compra de equipamiento informático para el gobierno o las fuerzas armadas de los Estados Unidos exige la entrega de los códigos fuente de todos los componentes de los sistemas adquiridos. Esto contradice lo declarado por algunos de los fabricantes de discos rígidos.
Constin Raiu indicó que este malware permitía desde robo de archivos a controlar de manera remota una computadora, aunque sólo se tiene información que algunos pocos equipos pertenecientes a objetivos de alto nivel fueron atacados.