El indestructible malware de los ciberespías de Equation está aquí – pero no se asusten (de momento)

La investigación sobre las actividades de ciberespionaje del grupo Equation, que acaba de publicar el equipo GReAT de Kaspersky, revela un buen número de maravillas técnicas. Este viejo y poderoso grupo de hackers ha creado una serie de “implantes” maliciosos, pero el descubrimiento más interesante es la capacidad del malware para reprogramar los discos duros de las víctimas, haciendo sus “implantes” invisibles y casi indestructibles.

Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet – http://t.co/FsaH0Jzq5O

— Kim Zetter (@KimZetter) February 16, 2015

Ésta es una de las historias de terror más veces anticipadas desde hace tiempo en seguridad informática. Un virus incurable que persiste en el hardware del ordenador para siempre fue considerado una leyenda urbana durante décadas, pero parece ser que hay personas que gastan millones de dólares para hacerlo realidad. Algunos reportajes periodísticos sobre la historia de Equation van más lejos al decir que esto permite a los hackers “espiar la mayoría de ordenadores de todo el mundo“. Sin embargo, queremos reducir el nivel de alarma, ya que probablemente esta capacidad será tan rara como ver a los pandas cruzando la calle.

Empecemos explicando qué significa “reprogramar el firmware del disco duro”. Un disco duro está formado por dos componentes importantes, un soporte de almacenamiento (discos magnéticos para HDD clásicos o chips de memoria flash para SSD) y un microchip, que en realidad controla la lectura y la escritura en el disco, así como muchos procedimientos de servicio, como por ejemplo la detección y corrección de errores. Estos procedimientos de servicio son numerosos y complejos, así que el chip ejecuta su propio programa sofisticado y, técnicamente hablando, éste es como un pequeño ordenador en sí mismo. El chip del programa se llama firmware y a veces el vendedor del disco duro quiere actualizarlo para corregir los errores encontrados o mejorar el rendimiento.

El grupo Equation abusó de este mecanismo, siendo capaz de descargar su propio firmware para el disco duro de 12 “categorías” distintas (vendedores/variaciones). Las funciones de este firmware modificado son un misterio, pero el malware tiene la habilidad de escribir y leer datos de/para áreas del disco duro dedicado. Suponemos, que esta área se oculta completamente desde un sistema operativo e incluso desde un software forense especial. Los datos en esta área deberían sobrevivir al formateo del disco duro, además, el firmware es teóricamente capaz de volver a infectar el área de arranque del disco duro infectando a un sistema operativo recién instalado desde el principio. Para complicarlo aún más, el firmware chequea y reprograma dependiendo del firmware, así que es imposible verificar la integridad del firmware o una reinstalación fiable del firmware en un ordenador. En otras palabras, una vez infectado, el firmware del disco duro es indetectable y casi indestructible. Es más fácil y más barato deshacerse del disco sospechoso y comprar uno nuevo.

Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth…

— Matthew Green (@matthew_d_green) February 17, 2015

Sin embargo, no corras a buscar el destornillador, no creemos que este tipo de infección tan novedosa se convierta en algo corriente. Probablemente, hasta el propio grupo de Equation lo ha utilizado en contadas ocasiones, ya que el módulo HDD infectado es extremadamente raro en el sistema de las víctimas. Para los principiantes, reprogramar el disco duro es mucho más complejo que escribir, digamos, el software Windows. Cada modelo de disco duro es único y es muy caro y difícil desarrollar un firmware alternativo. Un hacker debe conseguir documentación interna del proveedor del disco duro (que es casi imposible), comprar algunas unidades exactamente del mismo modelo, desarrollar y testar la funcionalidad requerida y reducir las rutinas maliciosas del firmware existente, mientas se conservan sus funciones originales. Esto es ingeniería avanzada que requiere meses de desarrollo y millones en inversión. Esta es la razón por la cual no es factible el uso de este tipo tecnología furtiva en el malware criminal e incluso en ataques más específicos. Además, el desarrollo del firmware es, obviamente, una aproximación de boutique que no se puede escalar fácilmente. Muchos fabricantes liberan firmwares para múltiples lectores cada mes, nuevos modelos salen constantemente y piratear cada uno de ellos está más allá de las posibilidades (¡y necesidades!) para el grupo Equation, y para todos los demás.

"..it would take a very skilled programmer many months or years to master" reprogramming hard drives, says @vkamluk #TheSAS2015

— Kelly JacksonHiggins (@kjhiggins) February 17, 2015

Así que la aplicación práctica de la historia es que el malware infeccioso de HDD no es una leyenda, pero a nivel personal no estás en riesgo. No golpees tus discos con un martillo, a no ser que trabajes en la industria nuclear iraní. Presta más atención a riesgos menos emocionantes, pero mucho más probables como ser hackeado por tener malas contraseñas o antivirus caducados.