¿Cómo puede el virus Equation llega a nuestros discos duros?

Un informe publicado la semana pasada por Kaspersky Lab, describiendo a una oscura organización a la que llaman “Equation” (Ecuación), ha sacudido a la comunidad de la seguridad. Según las conclusiones de Kaspersky, millones de ordenadores han sido “infectados” con un tipo de malware que afecta al BIOS integrado en el hardware físico.

Sin embargo, a diferencia de la mayoría de los virus informáticos, no hay manera de eliminar el malware Equation porque se carga antes del arranque del sistema operativo. La aplicación crea un sector oculto en el disco duro para almacenar datos robados o nuevos comandos introducidos por un tercero que controlan el sistema. Incluso si se detecta la partición oculta del disco y se elimina, el virus simplemente recrea la partición la próxima vez que se inicia el PC.

Un virus imposible de eliminar

Aunque el BIOS del disco duro habitualmente puede ser actualizado o ‘flasheado’, algunos sectores siguen siendo inaccesibles para los usuarios para evitar que puedan ‘brickear’ su unidad. Kaspersky Labs descubrió que el virus a menudo utiliza las secciones persistentes, inflasheables del BIOS, haciendo imposible que el malware pueda ser eliminado con éxito. En la mayoría de los casos, la única manera de deshacerse del virus es reemplazar la unidad de disco.

La sofisticación del malware, y sus similitudes con el virus Stuxnet ha llevado a muchos a la conclusión de que Equation es financiado u operado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA). La única declaración emitida por la NSA ha admitido que la agencia es consciente de la existencia de Equation, pero declinó hacer más comentarios, especialmente cuando fue presionada en cuanto a su responsabilidad en la ingeniería del virus.

Equation: su alcance es una sorpresa

Aunque los efectos de Equation son dramáticos – por ejemplo, su capacidad de cruzar a redes desconectadas y seguras para robar datos – la presencia en sí del malware en el BIOS es lo que es más desconcertante. Kaspersky Labs afirma haber encontrado el malware Equation en las unidades de disco fabricadas por Western Digital, Hitachi, Seagate, Samsung, Toshiba e IBM, todos los cuales utilizan diferentes tecnologías tanto para el BIOS como para los controles de seguridad de sus discos.

La escritura del virus al firmware de esta manera sólo puede haber ocurrido de una de las siguientes dos formas:

• La infección ocurrió en la línea de producción, con el código de Equation siendo introducido en el BIOS en el momento en que el disco duro fue fabricado.
• El virus se transmitió utilizando métodos tradicionales (aprovechando las vulnerabilidades de páginas web, infección de archivos adjuntos de correos electrónicos, dispositivos USB comprometidos, etc.) y utilizó métodos propietarios de escritura del BIOS para acceder al BIOS protegido.

¿Cómo se instaló?

Para instalar un malware en la fuente, el grupo Equation tendría que haber obtenido acceso a los sistemas seguros donde se guarda el código de firmware del BIOS. Entonces podría sobrescribir el código oficial con el suyo propio a la espera del proceso de fabricación del disco.

Para llegar a hacer esto, un hacker tendría que:

• Infiltrar la red segura y acceder directamente al código guardado.
• Utilizar técnicas de ingeniería social para engañar a un usuario autorizado y de alguna manera hacer que incluya el código malicioso en la versión final del BIOS.
• Pagar a un usuario para que lo haga.
• Contar con la colaboración del fabricante para instalar el código malicioso de forma voluntaria, un tipo de acuerdo que sólo podrían lograr las agencias gubernamentales.

Cualquiera de estas técnicas es factible, sobre todo porque la mayoría de los fabricantes afectados no han sido particularmente rápidos en negar su participación.

Si el malware Equation fuera transmitido utilizando técnicas más tradicionales, todavía queda para resolver el problema de cómo se pudo acceder a los sectores protegidos del firmware. La información acerca de la API protegida no está disponible para el público y requiere conocimientos especializados que constituyen la propiedad intelectual de los fabricantes. Una vez más, existen algunas explicaciones:

• Los miembros de Equation lograron robar los detalles de la API directamente de cada fabricante.
• Equation pagó a una fuente interna a cambio de la información.
• Los fabricantes fueron cómplices de compartir la información.

Pagar por secretos industriales tan sensibles habría costado una cantidad enorme de dinero, absolutamente fuera de las posibilidades de la mayoría de los colectivos de hackers y bandas de cibercriminales. La conclusión parece ser una vez más que los fabricantes de discos duros fueron comprometidos directamente, o que un Estado-nación está detrás de Equation.

Un rompecabezas de larga data

Pero lo más desconcertante de todo es la aparente edad del malware Equation. El análisis de Kasperky del virus se remite a numerosos dominios, algunos de los cuales han estado activos desde 1996. En función de esto, las investigaciones de seguridad estiman que Equation puede haber estado usando técnicas como éstas para comprometer la seguridad de discos duros y robar datos durante casi 20 años. Como la tecnología de los discos duros ha cambiado significativamente durante este período, parecería que Equation ha estado trabajando con perserverencia para estar siempre al tanto de los protocolos secretos que cubren el firmware BIOS de los discos duros.

Es evidente que Equation ha sido construido por algunos ingenieros muy inteligentes, pero el “cómo” de la infección es casi tan difícil de explicar que el motivo detrás.