Dostlar, Ben okuyunca bunu anlamadım? :) Kaspersky raporunda (1) diyor ki 'Bu malware moduler. HDD firmware'ini etkileyen parcanin cok az kullanildigini goruyoruz. Muhtemelen sadece cok degerli hedefler icin kullaniliyor (sayfa 18).'. Dolayısı ile her ele geçirilen makinada uygulanan bir teknik değil, rapordan anladığım başarımını da henüz yeterince iyi incelememişler; iyi çalışıyor mu o da belli değil.
Ben bu saldırının sanal dosya sistemini registry üzerinde saklama kısmını daha ilginç buldum. HDD firmware'inin programlanıp değiştirilebildiği zaten biliniyordu ama (bildiğim kadarıyla) daha önce kimse registry'i filesystem gibi kullanarak bilgi sızdırmaya çalışmamıştı. (1) https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf 19 Şubat 2015 11:39 tarihinde Celil ÜNÜVER <[email protected]> yazdı: > Toparlamak gerekirse, zararli yazilim bulastigi sistemde HDD firmware'i > enfekte ediyor ve kendini orada gizliyor diyebiliriz. Bu enfekte etme > islemini her HDD ureticisinin kendine ozel sundugu "Vendor Specific > Commands" komut setleri ile gerceklestiriyor. Dogrudan satin aldiginiz HDD > ile gelen bir zararli yazilim soz konusu degil, en azindan su an icin :) > > - Celil Ünüver > > 19 Şubat 2015 Perşembe tarihinde, Celil ÜNÜVER <[email protected]> > yazdı: > > Merhaba, >> >> Basinda gecen haberler yanlis anlasilmaya sebep oldu. NSA ' in dogrudan >> uretim veya dagitim asamasinda bazi HDD markalarina casus yazilim >> yerlestirdigi gibi bir algi olustu ancak durum boyle degil. >> >> EquationAPT operasyonunda kullanilan zararli yazilimin kendini HDD >> firmware'inde gizleyebilme ozelligi mevcut. Raporlarda bunu HDD firmware'i >> tekrar programlayarak yaptigi soyleniyor. Dolayisiyla zararli yazilim dosya >> sistemi yerine HDD'nin firmware'inde yasadigi icin format vs. ile silinmesi >> mumkun olmuyor. >> >> HDD 'lerin bizim dosya sistemi icin kullandigimiz standart ATA komutlari >> disinda, "vendor specific commands" olarak bilinen ve bu komutlarla >> ulasilabilecek bazi ozel alanlari mevcut. Vendor specific commands, adindan >> da anlasilacagi uzere ureticiden ureticiye degisen ve dogrudan firmware'e >> ulasmayi, firmware update vb. islemler yapmaya yarayabilen komut >> setlerinden olusuyor. NSA 'in VSC kullanarak firmware uzerinde zararli >> yazilimi gizledigini dusunuyorum. Basinda bazi HDD markalarinda backdoor >> .... haberi de burdan cikiyor. Ureticiden ureticiye degisen komut setleri >> dolayisiyla zararli yazilim icinde her hdd markasina ozel VSC :) >> >> Su makale VSC ile data saklama uzerine guzel bir ornek: >> http://www.recover.co.il/SA-cover/SA-cover.pdf >> >> Saygilar, >> >> Celil Ünüver >> >> >> 19 Şubat 2015 Perşembe tarihinde, Ümit ÖZDEMİR <[email protected]> >> yazdı: >> >>> Merhaba, >>> >>> Kaspersky, NSA tarafından bazı HDD içerisine yerleştirilen casus >>> yazılımlar ile siber espiyonaj yapıldığını iddia etti. >>> >>> Bu konuda detaylı teknik bilgiye ulaşabilen var mı? >>> >>> İyi Çalışmalar >>> >>> -- >>> Ümit ÖZDEMİR >>> >> --
