הכל על badBIOS, נוזקת העל שמסעירה את עולם אבטחת המידע

האם נתגלתה נוזקה שגורמת ל-Stuxnet ו-Flame, ששימשו לריגול ברחבי המזרח התיכון ולפגיעה בכור האטומי באיראן, להיראות כמו גרסאות אלפא של הדבר האמיתי?

Dragos Ruiu

הכל החל בפרסום שיצא לפני ארבעה חודשים ע”י מומחה אבטחה מוכר בשם Dragos Ruiu, שלטענתו מבלה במהלך שלוש השנים האחרונות במאבק עם נוזקה שהדביקה את רשת המחשבים של חברת אבטחת המידע שלו.

הסיפור על פי דראגוס

על פי המידע שדראגוס פרסם במהלך השבועות האחרונים בחשבונות הטוויטר, פייסבוק וגוגל פלוס שלו, מדובר בנוזקה שגורמת ל-Stuxnet ו-Flame, הנוזקות המפורסמות ששימשו לריגול ברחבי המזרח התיכון ופגיעה בכור האטומי באיראן, להיראות כמו גרסאות אלפא של הדבר האמיתי.

דראגוס מתאר את הרגע שבו הודבק מחשב ברשת שלו מיד לאחר שהתקין מחדש שני לפטופים מסוג Macbook Air עם OSX, וביצע שדרוגי firmware לשניהם. אחד מהלפטופים היה ממוקם ברשת של לקוח ופעל באופן נורמלי, בעוד שהלפטופ השני, שהותקן אצלו במשרד, ביצע עדכון firmware בגודל שונה שאחריו לא ניתן היה לבצע boot ללפטופ מתוך CD ROM. הוא גילה גם שמידע נמחק והגדרות משתנות במערכת ההפעלה ללא בקשת הרשאות אדמין.

בחודשים שחלפו לאחר מכן, התחיל גם מחשב שהריץ מערכת הפעלה מסוג OpenBSD להפגין את אותה ההתנהגות, ואחריו מחשבים נוספים ברשת. מחשבים שחלקם עם מערכות הפעלה מבוססות Linux וחלקם מותקנים עם גרסאות שונות של Windows החלו לשדר החוצה תקשורות בפרוטוקול IPV6, למרות שברובם הפרוטוקול היה מנוטרל.

לאחר שהבינו שהרשת שלהם נגועה לחלוטין והם לא מצליחים לאתר את הנוזקה, החליטו דראגוס והשותף שלו לפרמט את כל המחשבים בחברה. אבל בשלוש השנים שחלפו מאז, הרשת הודבקה שוב ושוב תוך מספר שבועות או חודשים. במהלך אותה התקופה, ביצעו דראגוס והשותף שלו ניסויים רבים בבידוד וניתוח הנוזקה, כאשר הם נתקלים בכל פעם מחדש בהגנות שונות שנועדו להקשות על התהליך.

שלב הניסויים

בבחינה לאחור של הפעולות שביצע בהדבקה של המחשבים ברשת, נזכר דראגוס שהכניס דיסק און קי למחשב הראשון שהודבק עם OpenBSD אבל לא ביצע לו Mount, דבר שהוביל אותו למסקנה שמדובר בדרייבר שהותאם ל Flash Controller של הדיסק און קי וכלל פרצת buffer overflow שמאפשרת להדביק את מערכת ההפעלה ללא גישה ישירה למערכת הקבצים.

הם הגיעו למסקנה שהנוזקה מבצעת תכנות מחדש של ה-Flash controller של דיסק און קי (דרכו כנראה התבצעה גם ההדבקה של הלפטופ הראשון) ושל כונני ה-CD של המחשבים שנדבקו, שלא רק מנעו העלאה של המחשב מתוך דיסק CD, אלא גם מנעו העתקה או צריבה של הקבצים ששייכים לנוזקה.

במהלך הניסויים שלהם קרו גם מספר מקרים שבהם דיסק און קי שהוסר בצורה לא בטוחה והוכנס למחשב שלא היה נגוע לא זוהה ע”י המערכת, ובחיבור שלו למחשב נגוע הוא חזר לפעולה תקינה, מה שמרמז על כתיבה מחדש של הפלאש בכל חיבור של המדיה למחשב נגוע.

לאחר שהחליפו דיסק קשיח למחשב נגוע שנותק ובודד מרשת המחשבים, והתקינו מערכת הפעלה חדשה מתוך CD, הופיעו שוב התופעות הנלוות של הנוזקה, דבר שהוביל אותם למסקנה שמדובר בנוזקה שיודעת גם לבצע flash ל BIOS ומשם להדביק חלקים נוספים של החומרה ומערכת ההפעלה.

למרות שבודדו מספר מחשבים ב-air gap קפדני במיוחד, שבמסגתו גם הסירו פיזית את כרטיסי הרשת וה-WIFI, ואפילו את כרטיסי ה-Bluetooth (הנוזקה Flame העבירה מידע בדרך זו), דראגוס הבחין שמידע מועבר בין מחשבים נגועים שנמצאים בקרבה פיזית של מספר מטרים האחד מהשני – רק כאשר ניתק את המיקרופון והרמקול המובנים בלוח האם התשדורות הופסקו.
כדי לבדוק את הנושא, ביצע דראגוס מספר הקלטות סאונד שבניתוח שלהן גילה שמידע נשלח ומתקבל בתדרים שגבוהים מ-20 KHZ כך שאינם נקלטים ע”י האוזן האנושית. העברת מידע ע”י סאונד קיימת כבר עשרות שנים במודמים ישנים ופקסים, אבל מדובר עדיין בגילוי המדהים ביותר בהקשר ל-badBIOS.

בין שלל העדכונים שהוציא דראגוס בנושא, קיים גם ראיון מעניין שהעניק לדניס פישר מהאתר Threat Post. כמובן שלא אפשרי להעביר את כל הפרטים בראיון של מספר דקות, אבל ניתן לקבל רושם כללי לגבי ההתמודדות המאתגרת עם נוזקה שמחדשת כמעט בכל התחומים.

הפרסום הראשון ב-arstechnica

הפרסום הראשון ב-arstechnica

הדעות חלוקות

מאז שדראגוס החל להוציא עדכונים על המאבקים שלו ב-badBIOS, מתנהלים דיונים קדחתניים של מומחי אבטחת מידע והאקרים ברחבי העולם, עם ויכוחים ואמוציות שמזכירים תוכניות פוליטיקה בערוץ 2, כשהם מלווים בעשרות פרסומים בבלוגים ובמאות תגובות ותגובות נגד, תאוריות והאשמות הדדיות.

לפרסום המפורט הראשון של הנוזקה ע”י מומחה של אתר Ars Technica (לא, זו לא חברה של ערסים), שבעיקרו תומך בהיתכנות הסיפור של דראגוס, יש כבר מעל ל-600 תגובות, והוא משמש כנקודת התייחסות לרבים מהפוסטים והתגובות לפרסומים על badBIOS.

ניתן לחלק את הטענות של המתנגדים לפירסומים של דראגוס לארבעה סוגים עיקריים:

  • דראגוס המציא את הסיפור כדי לצבור עוקבים בפרופילים שלו ופירסום בעולם אבטחת המידע.
  • מדובר בסדרה של טעויות של דראגוס, שמתבלבל בין תופעות שאינן קשורות בנוזקות ליכולות שאינן קיימות ולא ייתכן שייושמו בתחום. מתוך בלוגים ומאמרים רבים, שרובם מנתחים ושוללים את האפשרות של העברת מידע בתדרים קוליים גבוהים, וחלקם אף הגיעו למסקנה המוטעית שדראגוס טוען שההדבקה מתבצעת ע”י העברת מידע בתדרים קוליים, אני ממליץ דווקא על הבלוג של פיליפ ג’נקה ששולל את האפשרות להדבקה של BIOS. הוא העלה גם פוסט עדכון נוסף ומעניין באותה המידה.
  • דראגוס לא הציג מספיק ראיות שתומכות בסיפור שלו. בדר”כ בתהליך הניתוח של נוזקה מספק החוקר לוגים של Backtrack, Wireshark, Sysinternals וכו’, וכמובן דגימות של קבצי המקור של הנוזקה או קבצים שהיא הדביקה. במקרה זה דראגוס לא סיפק דגימות כלל, ועדיין לא נמצאו סימנים בולטים או מיוחדים בלוגים שכן העלה. פוסט של רוג’ר גריימס מסביר את העניין בצורה טובה.
  • לבסוף, קיים מספר לא מבוטל של אנשים שמסיקים שדראגוס פשוט איבד את זה. כל מי שעובד בתחום אבטחת המידע נדרש למידה “בריאה” של פראנויה, ועבודה של שנים רבות בתחום עלולה להשפיע על כל אחד. ההנחה שלהם היא שכל הסיפור הוא אשליה פרי מוחו הקודח של דראגוס.

המסקנות שלי

קשה לי להאמין שדראגוס המציא את הנוזקה badBIOS כדי להתפרסם, בהתחשב בעובדה שהוא ידוע בקהילת אבטחת המידע במשך 15 השנים האחרונות, ובמיוחד כאשר היכולת המקצועית שלו מוטלת בספק כתוצאה מהפרסומים שלו בשבועות האחרונים.
גם העובדה שדראגוס הוא היחיד שפירסם את הנוזקה לאו דווקא מצביעה על כך שהמציא אותה, או שהחברה שלו היא היחידה שנפגעה. אם badBIOS הדביקה רשתות נוספות של חברות לאבטחת מידע, טכנולוגיה או ממשלות, הסבירות תהיה שהן יימנעו מלפרסם את המידע מחשש לפגיעה תדמיתית, או מתוך רצון לנתח אותה ולהשתמש ביכולות שלה בעצמן.

כמו כן, הוכח כבר שנוזקות כמו Flame מכילות אפשרות לפקודת kill שמוחקת אותן על מנת להקשות על חוקרי אבטחה לבצע backtrack של דרך הפעולה שלהן. יכול להיות שהפקודה נשלחה למחשבים נגועים לאחר שדראגוס החל לפרסם את הנוזקה.
הטענה שאין לארגון או לממשלה אינטרס להדביק דווקא את החברה של דראגוס גם היא מוטעית בעיני. דראגוס הוא מהמייסדים והמפיקים של אחד מהאירועים הנחשבים ביותר בעולם אבטחת המידע וההאקרים בשנים האחרונות – Pwn2Own – תחרות שהיא חלק מכנס שנתי של אבטחת מידע שנקרא CanSecWest.

במסגרת התחרות מוצעים פרסים של עשרות אלפי דולרים להאקרים שיצליחו לגלות פרצות Zero Day במערכות הפעלה, דפדפנים ותוכנות פופולריות. פריצה לרשת של דראגוס יכולה לספק ליוצרי הנוזקה מידע מדויק לגבי פרצות חדשות שהמידע המלא על דרך הפעולה שלהן לא מפורסם בתחרות מחשש שינצלו אותן לרעה.

בכתבה שלי שפורסמה בגיקטיים לפני שנתיים וחצי, ציינתי מספר מחקרים שהתנהלו בנושא הדבקה של BIOS, כאשר הבולט שבהם כלל כתיבת נוזקה שיודעת לבצע פלאש ל BIOS של יותר ממאה סוגים של לוחות אם, בהמשך הכתבה הזכרתי את הנוזקה Mebroni, שהיא הראשונה שהדביקה כמות משמעותית של מחשבים מחוץ למעבדות המחקר. לאחר הדבקה של הBIOS , היא הדביקה גם את ה-MBR, שילבה PE Infector שהדביק את כל קבצי ה-EXE במערכת, והפעילה גם Trojan downloader שנועד להורדה של עידכונים או נוזקות נוספות. מדובר באותה התקופה שבה הודבקה כביכול הרשת של דראגוס.

הטענה שנוזקה לא תוכל לבצע flash ל-BIOS בגלל ההגנות שמשולבות בכל לוחות האם מהשנתיים האחרונות ב-UEFI BIOS גם היא אינה מבוססת, והתייחסתי אליה בכתבה שפורסמה בשנה שעברה.

לגבי ההדבקה של הדיסק און קי ברמת ה firmware, קיימות בסה”כ 10 חברות גדולות של Flash controller שמייצרות אותם עבור כל היצרניות של דיסק און קי בעולם, וניתן לכתוב דרייברים שיתאימו לרובם וישולבו בנוזקה. ישנם מספר אתרים (רובם רוסיים) שמפרסמים את הקוד המלא של הגרסאות העדכניות ביותר של הדרייברים.

לבסוף, התאוריה של דראגוס בדבר העברת נתונים בתדרים קוליים גבוהים נשמעת הזויה, אולם הוכחה כאפשרית במספר מחקרים כמו המחקר של MIT, וגם בפרויקט שכולל סרטון הדגמה, שמדגים יישום של העברת נתונים בין שני לפטופים באמצעות תדרים שלא ניתן לשמוע באוזן אנושית.

כל היכולות של badBIOS שתאר דראגוס ניתנות ליישום באמצעות טכנולוגיות ופרצות שקיימות בשנים האחרונות. העובדה שרוב היכולות שתוארו לא יושמו בעבר בנוזקות אחרות איננה שוללת את האפשרות שהן קיימות. מעולם לא נפגעו צנטריפוגות של כור אטומי כתוצאה מתכנות מחדש של ציוד SCADA עד שהתגלתה הנוזקה Stuxnet.

אמנם מדובר בפרויקט פיתוח שמגמד את הנוזקות המתוחכמות ביותר, אבל ההדלפות האחרונות של Eduard Snowden אודות הנוזקות שבהן משתמש ה-NSA, והתקציב והמשאבים שמוקצים לצורך פיתוח של כלים חדשים לריגול ופגיעה בתשתיות, מוכיחות שהדבר אפשרי. הוכח גם שעומדים לרשותן של ממשלות סין ורוסיה משאבים לפיתוח נוזקות בעלות יכולות דומות, כך שגם הן מועמדות אפשריות, גם אם פחות סבירות, לפיתוח badBIOS.

יכול מאוד להיות שדראגוס טעה בניתוח של יכולות הנוזקה, בהתחשב במשאבים ושעות העבודה המוגבלים שעמדו לרשותו, והמתודולוגיות בהן השתמש כדי לנתח אותה, שייתכן שאינן עדכניות מספיק עבורה. אני מאמין שבחודשים הקרובים יתפרסם מידע נוסף שיאפשר לקבל תמונה מלאה יותר של היכולות של badBIOS.

יהיה מעניין לראות אם מדובר בקפיצת דרך משמעותית בעולם הנוזקות, או שמדובר באחת מהאגדות האורבניות הגדולות ביותר בעולם אבטחת המידע.




הכתבה בחסות Eset

חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה - ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android - מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.


בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.


בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, 
עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

9 תגובות על "הכל על badBIOS, נוזקת העל שמסעירה את עולם אבטחת המידע"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יואב
Guest

כתבה מצויינת.
ה-badBIOS וה-Stuxnet הוחדרו דרך דיסק און קי.
ולפי המאמר הקוד המלא שלהם כבר מופץ באינטרנט.
אשמח מאוד אם תוסיף כתבה או מדריך איך נוכל להגן על הדיסק און קי מלהידבק בנוזקות, וירוסים או תוכנות ריגול ואם כבר כן הודבקו איך נוכל להסיר אותם.

אמיר כרמי
Guest

תודה יואב על המשוב ועל הרעיון לכתבה הבאה :)

אלון
Guest
כמובן שאני לא יכול לפסול באופן מוחלט את התיאוריה של דראגוס, אבל הוא מסיק הרבה מאוד על סמך אינדיקציות עקיפות. לראות שיש פעילות לא צפוייה לא מעיד על הדבקה, ונראה לפי הכתבה שהוא הסיק את קיום הוירוס רק מהפעילות הלא צפוייה. אחרי שהמשיך לראות פעילו לא צפוייה זו – הוא לא החליט לבחון מחדש האם זה אכן וירוס. הוא החליט שכל הסקה קודמת שלו היא משהו שהוא יכול לבנות עליה, ולכן אם גם אחרי פירמוט הוא רואה את אותה פעילות – אז זה בקונטרולר של הכונן. ואם יש פעילות גם כשהם מנותקים – והיא מפסיקה כשמנתקים את המקרופון – אז… Read more »
eran
Guest

כתבה מצויינת .

moshe
Guest

מדהים

אורן
Guest

חברים, אוהב מאוד את גיקטיים, אבל תזמון הכתבה הזוי – אלה חדשות של לפני ארבעה חודשים באמת. ואם כבר מתיימרים לכסות את האירוע “בדיעבד” – הכותב לא התייחס להרבה תגובות חשובות אחרות לאירוע וניתוחים חכמים שנעשו על ידי חוקרים שניסו להפריך ולאשש תיאוריות.
בהתייחסות לנושא עצמו, הדעה הרווחת כמעט ללא סייג היא שמדובר ב”פראנויה” כללית מצד דראגוס, והעובדה העומדת היא שעד היום, ולמרות תשומת לב חסרת תקדים ומאמצים מצד קהילה שלמה לחקור, לא נמצאה עדות אחת המגבה את טענותיו.

dsfa
Guest

מה כל כך מוזר בתיאוריה של תקשורת באמצעות סאונד ?
, אלא מבצעת את הזיהוי באופן עצמאי על-ידי ניגון צליל בתדר גבוה (Ultra-sonic Frequency) המזוהה על-ידי המכשיר הנייד, המשדר צליל נוסף חזרה.
מתוך : https://www.geektime.co.il/google-acquires-slicklogin/

מפ
Guest

ובטח לא שמעתם עדיין על “הקפצת” תוכנה מכרטיסי משב/בקרה של מעליות לסמארטפון וממנו הלאה למחשבים בקרבת הסמארטפון?
היש שרשרת יותר פשוטה? היש עוד שרשרות הקפצה? יש ויש.

בקרוב פסח, ו”יש מי שיודע לשאול”…

בס
Guest
כמה בעיות – * המיקרופון. רק בניידים יש מובנה. בדסקטופים אין. לא יופעל מעצמו. גם לא מהביוס (ו’ביפ’ לא נחשב). * קליטת תדרים שאינם נשמעים. ציוד האודיו (מיקרופון; רמקולים) נבנה לאוזן האנושית, כך שלא סביר שיהיה מסוגל לשדר/לקלוט תדרים שאינם בקליטה שלנו. * נאמר שנמצא שידור מהרשת – לאן? לאיזו כתובת? באיזו ארץ? יותר חשוב מבחינת איש אבטחת המידע שהשידור יתבצע, כי כך יהיה אפשר לברר מה משודר, לאן ומהיכן. * תיכנות ה-DOK. אם זה היה כ”כ פשוט, וירוסים מזמן היו מתקינים את עצמם על הפלאש הפנימי של המכשיר. עובדה שאין. * בדיקה מעבדה בלתי תלויה, על ידי מומחים בעלי… Read more »
wpDiscuz

תגיות לכתבה: