Malware nelle ROM: la nuova frontiera di Equation Group


Un rapporto molto dettagliato di Kaspersky ha indicato la presenza di un nuovo tipo di malware firmato Equation Group, capace di passare inosservato per la maggioranza degli antivirus attuali. Installandosi direttamente nelle ROM dei dispositivi (tra cui hard disk di marca Seagate, Western Digital, Toshiba, Maxtor e IBM, ma a quanto pare anche comuni CD ROM) il gruppo in questione è in grado di installare in modo invisibile dei software di controllo del dispositivo / computer della vittima, in modo da passare indenne anche alla formattazione. C’è da tenere gli occhi aperti senza dubbio, per quanto la forma e la tipologia degli attacchi facciano pensare, quasi certamente, ad attacchi mirati di spionaggio nei confronti delle istituzioni – non mancano, comunque, rischi per gli utenti comuni.

Annuncio:
Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .

Non sembrerebbe esagerata, quindi, la definizione di questo Equation Group presentata sul blog securelist: “uno dei più sofisticati gruppi di attacchi informatici nel mondo“, che come ricordano su tomshw.it sembrerebbero padroneggiare più di un campo: mass media, criptaggio, hardware e software. Al fine di infettare le vittime, sono stati quindi diffusi numerosi malware / trojan molto pericolosi ed altrettanto difficili da individuare, noti con nomi come EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY e GRAYFISH. Fanny, in particolare, sfruttava una falla 0-day di Windows almeno dal 2008 e si diffondeva mediante dispositivi USB infetti, quasi certamente con la tecnica BadUSB descritta tempo fa su questo blog. Microsoft aveva comunque patchato il problema in questione con il bollettino ufficiale MS09-025 ed annesso update. In particolare, uno dei moduli dalle funzionalità  più potenti sembrerebbe essere noto con il nome di nls_933w.dll, una libreria dinamica capace di riprogrammare il firmware degli hard disk di marche succitate.

Le infezioni rilevate dal 2001 in poi ed attribuite al suddetto gruppo riguardarebbero, secondo SecureList:

  • governi ed istituzioni diplomatiche
  • telecomunicazioni
  • aereonautica/astronautica
  • energia
  • ricerca sul nucleare
  • estrazione gas e petrolio
  • ambito militare
  • nanotecnologie
  • attivismo islamico ed educazione
  • mass media
  • trasporti
  • istituzioni finanziarie
  • aziende che si occupano di crittografia

Sull’articolo in questione della securelist sono riportati sia gli host infetti e gli hash MD5 dei file malware in questione.

👇 Da non perdere 👇



Trovalost esiste da 4549 giorni (12 anni), e contiene ad oggi 4117 articoli (circa 3.293.600 parole in tutto) e 18 servizi online gratuiti. – Leggi un altro articolo a caso
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.