___

Однако самым интересным приемом, от которого в осадок выпали все инфосек эксперты, стала возможность вредоносов Equation по перепрошивке жестких дисков. Malware меняла стоковую прошивку и выделяла для своих нужд скрытую часть диска, где могла хранить себя и краденные данные (помечала как битые сектора). Таким образом, вредонос не только создавал скрытое надежное хранилище, но самое главное – его практически невозможно было убрать с зараженного HDD. Только физическим удалением диска или его перепрошивкой. Ни переустановка операционной системы, ни форматирование жесткого диска не помогали. Одна из поздних версий GrayFish, например, могла перепрошивать жесткие диски 12 брендов, среди которых – Western Digital, Samsung, Seagate, Maxtor и другие. Но самый сок в том, что вредоносы в ряде случаев для перепрошивки использовали множество недокументированных команд, о которых знали только производители. И снова две версии имеют право на жизнь – либо АНБ получали данные от производителей, пользуясь административными рычагами, либо Equation совершали глубокие проникновения в сети вендоров, добывая конфиденциальную информацию из скомпрометированных систем. Активность Equation также впечатляла – Касперские говорили о 2000 целевых заражениях в месяц, кибероперации были направлены против ресурсов более чем 30 стран. В инфраструктуру хакеров входило более чем 300 доменов на более чем 100 серверах. Отдельный интерес вызвало присутствие признаков того, что Equation была способна атаковать не только системы под управлением Windows. В частности, хакеры взламывали компьютеры с Mac OS X (ныне macOS), а также iPhone. И никакие GreyKey не нужны. Сразу после доклада Лаборатории Касперского в инфосек сообществе начались попытки установить принадлежность Equation, тем более что сама ЛК никакого мнения по сему поводу не высказала. Тем не менее, часть данных достаточно достоверно указывала на АНБ: - кейлоггер Grok, принадлежащий Equation, упоминался Сноуденом в своем сливе; - найденное в коде Equation название StraitShooter также коррелирует с данными Сноудена, документы которого содержали информацию о вредоносе StraitBizarre, который «может превращаться в «shooter». Был еще ряд признаков, указывающих на связь между Equation и АНБ, в первую очередь, касающихся сходств вредоносов этой группы с кибершпионским ПО Stuxnet, DuQu, Flame и Gauss, использовавшихся в кибероперациях, приписываемых спецслужбам США и их союзников. Также Виртуальная файловая система, которая эксплуатировалась Equation в более продвинутом виде, использовалась во вредоносе Regin. А Regin, детище разведсообщества FiveEyes, активно применяется в операциях кибершпионажа аж с 2003 года. И да, если вы этого не знаете, именно с помощью Regin в конце 2018 года распотрошили внутреннюю сеть Яндекса – типичная атака на цепочку поставок с целью внедрения своих бэкдоров в стороннее ПО. Но, все же, однозначный вывод сделать было сложно. Сноуден сказать точно ничего не мог, поскольку был аналитиком и имел доступ только к верхнеуровневым документам, не содержащим технические подробности. #APT #Equation