Equation-Group: “Höchstentwickelte Hacker der Welt” infizieren u.a. Festplatten-Firmware

Seit Jahren, wenn nicht sogar Jahrzehnten treibt eine Gruppe von Cyberangreifern weltweit ihr Unwesen und setzt auf äußerst hochentwickelte Technik, behauptet Kaspersky. Details bereits bekannter Malware impliziert Verbindungen zum US-Geheimdienst NSA.

Die russische IT-Sicherheitsfirma Kaspersky Lab hat Details zu einer Equation Group getauften Hackergruppe veröffentlicht, die mit ausgefeilten Methoden Regierungen und Unternehmen in mehr als 30 Ländern angegriffen haben soll. Auch wenn sie nicht direkt genannt wird, gibt es Hinweise, das die NSA oder ein anderer US-Geheimdienst dahinter steckt. Als besonders intensive Angriffsmethode hebt Kaspersky die Fähigkeit der Gruppe hervor, die Firmware von Festplatten bekannter Hersteller zu manipulieren. Die entsprechende Malware habe man in zwei Festplatten gefunden. Dass die NSA intern erklärt, dazu in der Lage zu sein, hatten bereits Jacob Appelbaum und Der Spiegel anlässlich des 30C3 in Hamburg öffentlich gemacht.

[Update 17.02.2015 – 11:05 Uhr] Betroffen sind demnach Festplatten von Western Digital, Maxtor, Samsung, Toshiba und Seagate. Eingesetzt würden eine Reihe nicht-dokumentierter ATA-Befehle. Gleichzeitig sei diese Umprogrammierung von Festplatten-Firmware so selten, dass der Schluss naheliege, dass sie nur gegen ganz besondere Ziele oder unter ganz außergewöhnlichen Umständen eingesetzt würde. Als Namen des Moduls gibt Kaspersky “nls_933w.dll” an. [/Update]

http://www.heise.de/security/meldung/Equation-Group-Hoechstentwickelte-Hacker-der-Welt-infizieren-u-a-Festplatten-Firmware-2550779.html

Data recovery Part I

In a first test setup the harddrives were hooked up with SATA cables to two laptops, one running Ubuntu 10.4, a second one with Windows. If the HD booted and data was still accessible, an image was copied to a seperate harddrive. The seperate harddrive have a folder structure according to the HD number. We tried out several free software programs to restore harddrives and access data: Testdisk (Linux), Photorec (Linux, PC), PC Inspector (PC), Recuva (PC).

On this way, the content of 4 harddrives could be instantly accessed and copied.