Сегодня Интернет сотрясла новость, которая на первый взгляд могла показаться шуткой: "Касперский" сообщил о том, что АНБ США разработали вирус, способный распространяться абсолютно невидимым образом через прошивки внешних дисков и флешек.
То есть вроде как существует вирус, который заражает не файлы на USB-флешке, а её прошивку, внутреннюю память, прочесть которую с компьютера (а значит и определить факт заражённости) невозможно. Якобы если флешка подключена к компьютеру вирус может получить контроль за ним даже если человек не запустил ни один файл. Якобы этот вирус создан АНБ США и используя его они много за кем шпионят.
Звучит как фантастика, так что я, будучи противником теорий заговора, но экспертом в области программного обеспечения, решил изучить материалы. И могу сказать следующее: это почти наверняка правда.
Дело в том, что ещё во второй половине прошлого года исследователи
обнаружили уязвимость, позволяющую прятать зловредный код в прошивках устройств, а осенью другие исследователи даже
опубликовали пример кода, который эту уязвимость использует. Замечу, что во второй статье, на которую я ссылаюсь, ещё тогда было сделано предположение, что NSA могут об этой уязвимости знать и использовать её.
Объясню на пальцах как эта уязвимость работает: современные USB устройства на самом деле являются микрокомпьютерами. У них есть свой микропроцессор и своя память, где хранится софт, управляющий микропроцессором - прошивка. И вот этот микрокомпьютер и ваш компьютер общаются друг с другом через протокол USB. Подключали когда-нибудь USB-клавиатуру или мышку? Тогда знаете, что сразу же после подключения вы можете ей пользоваться, вбивать на ней что угодно. Так вот представьте себе, что микрокомпьютер вашей флешки, выполняющий код, который хакеры поместили на его прошивку, может послать вашему компу такие сигналы, что тот примет флешку вовсе не за флешку, а за внешнюю клавиатуру. Которая вобьёт любую последовательность команд, которую пожелает хакер, будто он сидит за вашим компьютером.
И это лишь один из примеров использования данной уязвимости, на самом деле возможностей масса, проблема же зашита глубоко в архитектуре USB все эти годы, и ещё осенью было понятно, что никакой программной возможности защититься от неё на данный момент нет.
Причём с заражённого уже компьютера можно обновить прошивку новой флешки (вы ведь когда-нибудь обновляли прошивки устройств, да?), общаясь с её микропроцессором, а вот прочитать содержимое прошивки на самой флешке невозможно (за исключением случая когда производитель флешки специально предусмотрел в прошивке такую возможность), итого обнаружить такой вот спрятанный вирус теоретически нельзя. Дальше такая флешка может заражать все компьютеры, в которые её вставляют, а они в свою очередь могут заражать все иные, вставляемые в них, флешки...
И вот теперь Касперский
обнаружил вирус, вернее сеть вирусов, которые в том числе используют эту уязвимость. При этом код части вирусов указывает на вероятную аффилированность их авторов с авторами вируса stuxnet, поразившего объекты Ирана, что как бы намекает нам на то, что заказчик АНБ. Но главное другое (и это хорошая для нас всех новость!): несмотря на теоретическую возможность заражения большей части компьютеров в мире через флешки, данный вирус был обнаружен только на небольшой доли компьютеров, находящихся в госструктурах ряда стран (тот же Иран, Россия...) что с вероятностью около 100% указывает на то, что это дело рук АНБ-таки.
Между тем, надо понимать, что вполне возможно, что и другие структуры (прежде всего другие мировые спецслужбы) об этой уязвимости знали и её использовали, так что есть вероятность, что значительная часть компьютеров и USB-девайсов в мире уже заражены подобными вирусами.
В этом смысле очень удивляет, что АНБ решили делать вирусы, используя уязвимость, но не сообщить о ней производителям - ведь вполне возможно, что пока они заражали вирусами компьютеры госструктур России и Ирана, подобными же вирусами спецслужбы Китая заражали компьютеры госструктур США :)