Od kilkunastu dni śledzimy doniesienia na temat niezwykle przebiegłego i oryginalnego wirusa, który przesyła dane przez kartę dźwiękową, infekuje wbudowane oprogramowanie dysków USB i potrafi zarażać systemy Windows, Mac i BSD.
Historia zaczęła się 10 października od tego tweeta Dragosa Ruiu. W tym wpisie i w kolejnych Dragos opisuje odkrytego przez siebie wirusa, który posiada prawie paranormalne – choć w zasadzie wytłumaczalne – właściwości. Na profilu w serwisie Twitter i Google Plus Dragos opisał do tej pory kilka cech wirusa, którego bada. Postaramy się poniżej podsumować jego odkrycia wraz z naszym krótkim komentarzem (czerwoną czcionką).
1. Wirus podobno potrafi przesyłać dane za pomocą karty dźwiękowej. Generuje dźwięki wysokiej częstotliwości, które odbierane są przez inne zainfekowane maszyny. W ten sposób pokonuje problem stacji odseparowanych galwanicznie od pozostałej części sieci. Dragos twierdzi, że słyszy te piski ze swoich głośników. Brzmi jak science fiction, ale w dobie Software Defined Radio nie wydaje się nierealne.
2. Wirus komunikuje się z C&C za pomocą dodatkowych parametrów pakietów DHCP, dodatkowo korzystając z TLS. Dane przesyła zwrotnie za pomocą zapytań DNS NetBIOS oraz IPv6 (równiez na komputerach nie korzystających z IPv6). Prawdopodobnie wykonalne, znane są różne przypadki „dziwnych” kanałów komunikacji z C&C.
3. Wirus infekuje BIOS płyty głównej, radzi sobie zarówno a platformą PC jak i Mac. Zainfekowany komputer nie uruchamia się z zewnętrznych urządzeń jak np. CD czy USB. Bez względu na wybrane opcje uruchamia się z wewnętrznego dysku twardego. Całkiem prawdopodobne i możliwe do wdrożenia.
4. Wirus blokuje uruchamianie programu Copernicus, służącego do weryfikacji sum kontrolnych BIOSu. Całkiem możliwe i proste do wdrożenia.
5. Wirus prawdopodobnie używa do infekcji plików czcionek TTF, ponieważ są one automatycznie wykonywane w momencie przeglądania folderu je zawierającego. Tu pytamy czytelników – ma to sens? Dragos twierdzi, że ma.
6. Do zainfekowania innego komputera wystarczy podłączyć do niego dysk USB, który był wcześniej podłączony do zainfekowanego komputera. Nie trzeba go nawet otwierać – wystarczy podłączyć. Działa również na komputerach pracujących pod kontrolą systemu BSD (dysk nie musi być nawet zamontowany). Możliwe, choć infekcja przez samo włożenie dysku USB do portu wymaga wykorzystania błędu na etapie identyfikacji nośnika.
7. Wirus prawdopodobnie nadpisuje wbudowane oprogramowanie dysków USB i napędów CD na USB. Jeśli dysk USB lub napęd CD na USB jest odłączany krótko po podłączeniu do zainfekowanego komputera, przestaje działać – zupełnie jakby proces nadpisywania wbudowanego sterownika został przerwany w połowie. Ponowne podłączenie urządzenia do zainfekowanego komputera magicznie je naprawia. Możliwe – choć zapewne wymaga bardzo specjalistycznej wiedzy.
8. Wypalanie płyt CD na zainfekowanych komputerach ma nieprzewidywalne skutki – pojawiają się pliki, których nie było w kompilacji lub pliki, które miały być, znikają. Możliwe i raczej proste do wdrożenia.
9. Flasboot.ru, jedyna strona opisująca wg Dragosa nadpisywanie wbudowanych sterowników dysków USB, nie otwiera się na zainfekowanych komputerach. Możliwe i raczej proste do wdrożenia.
Niestety jak do tej pory Dragos ciągle walczy z identyfikacja i wyodrębnieniem złośliwego kodu. Nie udało mu się do tej pory znaleźć komputera, który nie byłby podatny na działanie wirusa, na którym mógłby przeprowadzić jego analizę. Jeśli zastanawiacie się, czy można zaufać Dragosowi, to spieszymy poinformować, że to dość znana postać w świecie bezpieczeństwa IT. Dragos jest pomysłodawcą i głównym organizatorem poważnej konferencji CanSecWest oraz inicjatorem pierwszego konkursu z cyklu Pwn2Own. Można zatem przypuszczać, że faktycznie odkrył nieznany do tej pory rodzaj złośliwego oprogramowania. Pozostaje nam śledzić jego dalsze poczynania i trzymać kciuki za to, byśmy któregoś dnia mogli opisać szczegóły jego odkrycia.
PS. Jeśli słyszycie tajemnicze piski z głośników, lepiej sprawdźcie, czy otwiera się Wam strona Flashboot.ru.
Aktualizacja 2013-10-27
- Dragos informuje, że tajemnicze oprogramowanie zaczyna się anihilować – jego zdaniem autorzy zauważyli, że je bada i wysłali sygnał samozniszczenia. Zaczyna to przypominać powieść sci-fi.
- Udało się wydobyć podejrzany plik malgunbd.ttf. Jego analiza w serwisie malwr.com.
- Kilkanaście dni temu Microsoft ogłosił łaty na błędy w plikach TTF (zdalne wykonanie kodu, CVE-2013-3894) oraz rozpoznawaniu napędów USB (atak przez podłączenie złośliwego urządzenia, CVE-2013-3200), które mogą mieć związek z opisywanym złośliwym oprogramowaniem.
- Drugi serwis poświęcony flashowaniu napędów USB to usbdev.ru.
Komentarze
Pierwszy kwietnia to jeszcze trochę, nie?
Ciekawostka. Czyżby trafił na ślad jednego z typów sond NSA?
Zasada działania ma sens w przypadku sieci oddzielonych galwanicznie.
Tylko trzeba pamiętać że obie strony do pełnej komunikacji oprócz głośników muszą mieć mikrofony. Czyli głównie laptopy są „trefne” w takich przypadkach.
Niezła furtka do różnych sieci typu policja, wojsko, rząd.
Głośnik też może być mikrofonem…
Trochę creepy …
Co to jest system BSD? Czy to odkrycie z lat ’70? Wstyd panie redaktorze.
Komu wstyd, temu wstyd, taka sama kategoria systemów jak Windows czy Mac. Niestety Dragos nie napisał, czy chodziło mu o FreeBSD, OpenBSD czy NetBSD lub inne cudo.
To porozumiewanie się komputerów na odległość za pomocą głośniczka, wydaje się trochę groteskowe.
A słyszałeś o modemach dial-up i p2P :)
Wszyscy o nich zapomnieli , to po prostu migracha softu do dzisiejszych czasów – możba by powiedzieć – scenariusz filmu „skazany na śmierć”
Chcialbym zauważyć, że pasmo przenoszenia głośników i mikrofonów montowanych w laptopach mierzone w Hz nieczęsto przekracza pasmo słyszalności ludzkiego ucha. Słyszymy do ~16kHz, jakby ktoś pytał, głośniki „kończą się” często już ok. 15 kHz. W zasadzie prawie nigdy nie przenoszą wyżej. Pytam więc – jakie to dźwieki, jaka częstotliwość?
Parametr podawany jako gorna jak i dolna granica pasma przenoszenia jest okreslany przy zalozeniu spadku amplitudy o 3db (decybele) i to jest formalne zalozenie, co wcale nie znaczy ze glosnik nie przenosi wyzszych czestotliwosci. Przenosi jak najbardziej tylko z mniejsza moca przez co nie jest to uwzgledniane bo dazy sie do tego aby przenosil „plasko charakterystyke w zalozonym pasmie”. Natomiast nic nie stoi na przeszkodzie aby taki sygnal odpowiednio, „delikatnie” wzmocniony odebrac.
PS. Sorry brak PL znakow.
Przenosi, ale mocno nieskutecznie. Mocno niezkutecznie teź odbierają je mikrofony, więc jak dla mnie mało prawdopodobny wariant, bo laptopy musiałyby stać baaaardzo blisko siebie, żeby się tak porozumieć.
Jutro z ciekawości sprawdzę w pracy z dwoma laptopami, co słyszą stojąc na jednym biurku…
Wszystko zależy od układu dźwiękowego. Bawiłem się swego czasu nadajnikiem FM i softwareowym koderem stereo i RDS (Stereotool) w formie wtyczki do Winampa. Działało świetnie. Pełny sygnał stereo i komunikaty RDS w radiu. O ile pamiętam to podnośne dla sygnału stereo zaszyte w fonii wynoszą 19 i 38 khz, a dla RDS 57 khz. Nie wszystkie układy dźwiękowe to ogarniały. Mi np działało to na bodaj ALC888, ale ALC667 (chyba) już nie. Także tego – wyjście na dźwiękówce to nie tylko pasmo słyszalne.
Moja mysz dziwnie piszczy, zaczynam się bać.
Dragos niestety ma też historię bardzo dziwych i paranoicznych akcji, w związku z czym te doniesienia należy traktować z dużą dozą sceptycyzmu.
Prawdopodobny scenariusz jest taki, że połączył kilka glitchy w sprzęcie i sofcie w scenariusz z Mission Impossible.
Możesz podać jakieś przykłady „akcji” Dragosa? Google niezbyt pomogło :)
Prywatne opowieści ludzi którzy go znają lub czytali jego listę kyxspam. Akcje w stylu: wywaliła mi się przglądarka == to na pewno chińczycy z nowym zero dayem, run for the hills.
Czyli nie masz niczego na potwierdzenie swoich oskarżeń.
Oh, przejrzałeś mnie.
Dobre. Choć najlepsze będzie jak się okaże że teraz jego paranoja pomogła coś znaleźć :) Ale chyba szanse są niewielkie.
Kiedyś szukałem w sieci informacji o trojanach sprzętowych i trafiłem na jakieś forum, gdzie jeden gość skarżył się, że złapał coś takiego. Opisywał swoją walkę z reinstalacjami systemów, poszukiwaniami trojana i ciągłe porażki. Ciągle czyścił system, reinstalował, a syf znowu wracał. To była historia chyba sprzed kilku lat i widzę ciekawą zbieżność: strasznie był wyśmiewany ten gościu jako fantasta. Niestety dzisiaj już tego nie poszukam, bo idę na imprezę ;P Ale w Googlu wpisywałem coś w stylu „hardware trojans” albo „infection by hardware trojan”, jesli dobrze pamiętam.
Zobaczmy jak się potoczy ta historia.
Ja słyszę czasem dziwne dzwięki ze wzmacniacza podłączonego do mojego kompa, niestety jest to dźwięk wysiadających w nim kondensatorów gdy przez dłuższy czas nie gra, ponieważ sam wzmacniacz jest już starej daty… :) na dowód, odłączenie kabla od komputera nie powoduje zaniku tego efektu, a wbudowany amplituner daje takie same efekty :)
Lepsze: Mnie kiedys po podlaczeniu glosnikow z zewnetrznie zasilanym wzmacniaczem do WYLACZONEGO (aczkolwiek podlaczonego do pradu) komputera udalo sie zlapac jakas stacje LW lub MW. Mysle, ze z badziewnie izolowanych komponentow musial powstac jakis prosty uklad RLC. Ale rownie dobrze od tego dnia moze powinienem chodzic z czapka z cynfolii na glowie?
Zdecydowanie z czapką. Możesz nosić pod nią karty zbliżeniowe dla ochrony przed ich sklonowaniem ;)
„kiedyś” :) ? Ja miałem to regularnie przez wiele lat jak mieszkałem u rodziców jeszcze. Po jakimś czasie się po prostu przyzwyczaiłem że z wyłączonych głośników nadają ruscy. Tak tak to było po rosyjsku co mnie najbardziej dziwiło. Zakładam ze jakieś okoliczne radio na długich łapałem :) Albo statki ponieważ mieszkam and morzem :)
A to już żartem: ładowarka od mojego smartona emituje wysokoczęstotliwościowe dźwięki gdy nie jest podłączona do telefonu, to może to?
Na mobilnej wersji nie wpisać żółtych napisów
Poprawione.
cos ciekawego w tym temacie sie pojawilo, mamy juz jakas analize..?
Aha i jeszcze jedna myśl. Ciekawe, czy ten potencjalny wirus modyfikuje BIOS w maszynach wirtualnych. Jeśli tak, a serwisy typu malwr nie tworzą ich od nowa, to…
Dobrze rozumiem, że żeby komunikacja poprzez kartę dzwiękową/mikrofon działała to na obu komputerach wirus już musi być? Przecież laptop sam z siebie nie zdekoduje dzwięków a następnie sam sie nie zarazi?
No chyba że ta komunikacja służyłaby do przechwytywania danych pomiędzy odseparowanymi sieciami po zarażeniu obu stacji
Czyli w sposób opisany przez Jana Kiepurę w jednym z pierwszych komentarzy. Komunikacja pomiędzy galwanicznie odseparowanymi sieciami. Scenariusz całkiem prawdopodobny. Jakże często obok firmowego komputera stawiamy laptop podłączony bezpośrednio do Internetu.
Mój komp zachowywał sie bynajmniej dziwnie,wg tego scenariusza, a wczoraj atak na hosty przez dhcp ipv6 i spoofing po udp. Coś w tym jest – można to zbadać
Byc moze mam zainfekowane dwa tablety z Androidem, sa identyczne. Problem odkrylem przypadkowo w czasie ladowania bateri. Tablety jeden ma Androida oryginalnego (6.0), drugi zostal zaktualizowany do (7.0). Oba tablety maja opcje protektora ekranu wlaczona w czasie ladowania bateri. Kiedy jest ladowana bateria sa slyszalne dosyc glosne klikniecia i ,,podskakuje zawartosc ekranu,, , co przeklada sie na wylaczenie protektora. Nastepnie po wylaczeniu protektora ekranu wylacza sie opcja ,,samolotu,, i tablet laczy sie z siecia. Zostaje zmieniona strefa czasowa z Europa centralna na Australie. Takze wlacza sie Bluetooth. Nie wykluczam innych operacji. Nie wiem jak dlugo sa manipulowane tablety ( to dzieje sie tylko w czasie ladowania baterii), przeklada sie to na zanikanie kontaktów na obu pocztach Google i zmniejszona czestotliwoscia przychodzacych rozmow telefonow, poniewaz oba numery telefonow sa sprzezone z pocztami Google na tabletach. Gdzie sie ,,zadomowil,, wirus, hacker? Byc moze w ladowarce lub w wolnej pamieci tabletow lub systemie Android.