Дежавю, или хождение по кругу

(Сентябрь 2011)

В новостях в который раз всплыли две специфические темы: опять про неискоренимый вирус в BIOS и опять про авиатеракт Локерби. Абсолютно никакой связи, казалось бы, между темами нет. Но это как посмотреть…

rootkit-blog

Новость # 1

Новость первая – про китайский руткит Mebromi, который в очередной раз напомнил всем о часто забываемой опасности вирусов в BIOS, то есть в базовой системе ввода / вывода компьютера.

Забывчивость на данный счет принято объяснять тем, что BIOS размещается в программно-аппаратной прошивке специального чипа на системной плате, а для перепрограммирования таких чипов не существует универсального средства. Иначе говоря, для множества компьютеров на рынке существует не только великое множество несовместимых файлов-прошивок, но и куча разных программ для их записи во флеш-память чипа BIOS.

А это значит, по идее, что злоумышленникам и вирусописателям просто нет смысла возиться с проникновением в столь неудобную для инфицирования подсистему. Но это в теории.

На практике же китайская антивирусная фирма Qihoo 360 недавно обнаружила гуляющий по компьютерам вредоносный код, который в качестве главного места базирования использует BIOS компьютера. Там, в силу перечисленных выше технических причин, он остается вне досягаемости для общераспространенных антивирусных программ-сканеров. И при этом вирус, получивший от китайских исследователей название Mebromi, способен проникать в BIOS великого множества компьютеров самых разных фирм и моделей.

Объясняется этот кажущийся парадокс совсем простой причиной. Сколь бы ни было велико разнообразие компьютеров на рынке, BIOS-чипы для них всех поставляют совсем немного компаний. Причем одной из самых распространенных в мире систем такого рода уже многие годы является Award BIOS. А руткит Mebromi, как установлено, заточен именно под Award.

Как только эта инфекция попадает в компьютер жертвы, первым дело она проверяет систему на предмет использования Award BIOS. Если это так, то Mebromi использует известный инструмент CBROM – чтобы подсадить свои фрагменты в память BIOS. Затем, когда система загружается в следующий раз, эта надстройка добавляет дополнительный код в MBR, главную загрузочную запись жесткого диска, чтобы заразить загрузочные процессы winlogon.exe / winnt.exe в Windows XP и 2003 / Windows 2000 до того, как загрузится собственно операционная система Windows.

При следующем перезапуске ОС вредоносный код загружает специальный руткит, препятствующий очистке MBR от инфекции с помощью антивирусных сканеров. Но даже если жесткий диск все же удастся вычистить, вся процедура заражения повторяется по новой, как только при очередной перезагрузке срабатывает модуль инфекции из памяти BIOS.

Таким образом, в компьютерах с Award BIOS руткит Mebromi оказывается способен выдерживать не только зачистку системы, переустановку ОС или переформатирование диска, но даже полную замену жесткого диска. (Если же в компьютере используется не Award, а какая-то иная система, тогда заражению подвергается только MBR.)

При обсуждении этой «новой» напасти, конечно же, сразу стали вспоминать, что идея подсаживания вредоносного кода в BIOS на самом деле совсем не нова. Еще в 1999 году по планете бродил вирус CIH или «Чернобыль», пытавшийся манипулировать BIOS’ами зараженных машин, однако в подавляющем большинстве случаев все эти атаки имели разрушительный эффект. При некорректных попытках записи BIOS оказывался убитым, так что компьютер вообще переставал загружаться.

Затем, в 2000-е годы то и дело появлялись образцы вредносных кодов, демонстрировавшие принципиальную работоспособность этой идеи. В 2006 году, к примеру, в компьютерном андеграунде был отмечен «руткит-прототип» IceLord, уже вполне корректно заражавший BIOS-системы (что характерно, тоже Award), однако сколь-нибудь заметного распространения эта разработка не получила.

John-Heasman

Тогда же, в 2006 об интересных результатах своего исследования рассказал британский специалист по компьютерной безопасности Джон Хисмен (John Heasman). Хисмена обеспокоило, что на рынке не существует инструментов, позволяющих проверять содержимое BIOS на наличие руткитов. И в то же время в компьютерах имеется достаточно развитый набор функций управления питанием, известный как ACPI (Advanced Configuration and Power Interface) и обладающий своим собственным интерпретируемым языком высокого уровня, который можно использовать для написания кода руткита и прописывать главные функции атаки непосредственно во флэш BIOS.

Для демонстрации своей идеи, Хисмен написал соответствующий рабочий код, с помощью которого принудительно повышал привилегии вредоносной программы, считывал содержимое памяти и так далее. Опора программы на машинный язык делала руткит по сути платформенно-независимым и легко переориентируемым что под Windows, что под Linux или любую другую ОС. Механизм внедрения этого руткита в компьютер, правда, Хисмен делать не стал.

В 2007 году на английском языке вышла книга индонезийского хакера Дармавана Салихана (Darmawan Mappatutu Salihun) под названием «BIOS Disassembly Ninjutsu Uncovered». (В России столь примечательное исследование, надо заметить, было очень оперативно переведено и выпущено в том же году издательством «БХВ-Петербург» под названием «BIOS: дизассемблирование, модификация, программирование».)

В этой очень обстоятельной, на 700 с лишним страниц, работе автор, в частности, показал, что механизм внесения вредоносного кода в тело прошивки BIOS на самом деле может быть весьма простым и обобщенно называется ROMOS. По сути дела, это самостоятельная миниатюрная операционная система, зашиваемая практически в любой BIOS, имеющий примерно 40-60 килобайт свободного места. (Согласно оценкам компетентных специалистов, такой ROMOS более гибок и жизнеспособен, нежели обнаруженный ныне Mebromi.)

Наконец, не далее как в 2009 году пара аргентинских хакеров, Альфредо Ортега и Анибал Сакко (Alfredo Ortega, Anibal Sacco), представила весьма продвинутый и работоспособный концепт руткита, умеющего заражать BIOS компьютера в независимости от того, работает он под ОС Windows, Linux или вообще под управлением виртуальной машины. Об исследованиях Ортеги и Сакко, открывших в недрах кода BIOS нечто воистину любопытное, следует вообще рассказать особо. Но сделать это – по некоторым причинам – лучше чуть попозже.

Новость # 2

Новость вторая в очередной раз обращается к знаменитому террористическому акту, известному как катастрофа Локерби. Название пошло от города в Шотландии, над которым в 1988 году был взорван летевший регулярным рейсом Pan Am 103 авиалайнер Боинг-747, из-за чего в воздухе и на земле тогда погибли почти три сотни человек.

lockerbie

Хотя официально считается, что этот теракт был полностью расследован, а его непосредственный виновник – ливиец Абдельбасет Аль Меграхи (Abdelbaset Ali Mohmed Al Megrahi) – найден и наказан, на самом деле все обстоит существенно иначе. Слишком уж много известно фактов и свидетельств, указывающих на то, что Аль Меграхи скорее всего был подставлен, а обвинение против него носило массу признаков фабрикации (подробнее см. «Шпионы в стране Wikipedia»).

В связи с нынешними известными событиями в Ливии и свержением режима Каддафи, на страницах прессы и сайтах Интернета вновь обострился интерес как к дальнейшей судьбе «бомбиста» Меграхи, так и вообще к туче неясностей вокруг теракта Локерби.

Можно напомнить, что ведение суда и вердикт шотландских судей, обвинивших Аль Меграхи в умышленном подрыве авиарейса Pan Am 103 и гибели 270 человек, для многих выглядели на редкость неубедительными в своей справедливости. В частности, международный наблюдатель от ООН, профессор-юрист Ханс Кёхлер (Hans Köchler) назвал это решение «вопиющей ошибкой правосудия» и сделал специальное заявление с перечислением неувязок и крайне сомнительных свидетельств, на основе которых осудили Меграхи и закрыли дело.

Не только у юристов, но и у британской общественности «ливийский след» с самого начала вызывал сильные сомнения и требования нового, независимого расследования. Однако все британские премьер-министры – что консерваторы Тэтчер и Мэйджор, что лейборист Блэр – словно сговорившись, прикладывали максимум усилий, дабы такое расследование заблокировать.

Тем не менее, в 2005 году шотландский апелляционный суд все же начал – пусть и очень неторопливую – процедуру пересмотра дела о катастрофе Локерби. Поскольку процедура двигалась чрезвычайно медленно, к 2007 году в прессу стали просачиваться сведения о целом ряде очень важных свидетельств, подтверждающих сфабрикованность обвинения против Ливии американскими и английскими спецслужбами – в целях политической изоляции этой страны.

В частности, по самой главной улике – фрагменту печатной платы от таймера взрывателя – защита Меграхи добыла показания шотландского полицейского (проходящего в документах под псевдонимом Golfer, но готового выступить под присягой в суде), свидетельствующие, что этот фрагмент подложили в улики сотрудники ЦРУ.

Кроме того, от Ульриха Лумперта (Ulrich Lumpert), инженера швейцарской фирмы Mebo, изготовлявшей таймеры взрывателей по заказу ливийской армии, у защиты имелось признание, что это он по просьбе американской разведки тайно предоставил такую плату для изготовления фальшивки (в отличие от всех прочих улик, этот фрагмент был после суда вывезен из Британии в США – «для хранения в ФБР»).

Наконец, имелись у защиты и такие показания, которые подтверждали, что главные свидетели обвинения против Меграхи – тайный агент ЦРУ ливиец Абдул Маджид Гиака (Abdul Majid Giaka) и продавец мальтийского магазина одежды Тони Гаучи (Tony Gauci) – за свои показания в суде получили от американского министерства юстиции весьма приличные вознаграждения порядка 1-2 миллионов долларов.

Все эти новые материалы неизбежно должны были всплыть при рассмотрении дела в апелляционном суде, так что по «необъяснимым причинам» судебные слушания оттягивались все дальше и дальше… А затем наступило лето 2009 года, когда совершенно неожиданно для всех британский суд проявил удивительное милосердие, по собственной инициативе решив отменить пожизненное заключение для Меграхи «в связи с его смертельным раковым заболеванием» и отпустить бомбиста умирать на родину в Ливию. Где Аль Меграхи продолжает жить по сию пору, как и всегда прежде заявляя о своей невиновности и о готовности предстать перед апелляционным судом…

[Примечание из 2013 г. Практически одновременно с тем, как в Ливии был свергнут режим Каддафи, в августе 2011 Аль Меграхи впал в кому, а на следующий год, в мае 2012, скончался.]

Летом нынешнего (2011) года ключевые моменты этой таинственной истории в очередной раз напомнила публике арабская медиакомпания Аль-Джазира, выпустив посвященный судьбе Меграхи документальный фильм-расследование «Lockerbie: The Pan Am Bomber». А вслед за этим по страницам прессы, как обычно, пошли мутные волны «опровержений» и дезинформации.

Через одну из центральных газет Мальты, например, был вброшен блок частично рассекреченных документов ЦРУ, демонстрирующих, что этот остров служил своего рода перевалочным пунктом для ливийских террористов. И одновременно – форпостом ЦРУ, где американская спецслужба доблестно защищала свободный мир от козней Каддафи (главным источником сведений на данный счет был, что характерно, уже известный агент Гиака, которого даже в документах ЦРУ называют жадным до денег).

Ну а совсем недавно произошел еще один характерный кульбит. Сначала одно из независимых британских изданий (bellacaledonia.org.uk), регулярно вспоминающих о деле Локерби, опубликовало свое собственное расследование под впечатлением от фильма Аль-Джазиры. В этом материале было объявлено, что удалось «вычислить» того анонимного шотландского полицейского, который фигурирует в материалах защиты под кличкой Гольфер – и даже названо имя этого человека.

Сразу после чего последовали не только официальное опровержение от адвокатов, представляющих интересы данного полицейского весьма высокого ранга, но и (тут же выполненное) требование убрать с сайта все материалы на этот счет, «не соответствующие действительности». Вследствие чего как бы сомнительно стали выглядеть не только собственные выводы газеты (действительно очень зыбкие), но и попутно все достоверно установленные ранее факты о фальсификации дела Меграхи…

Оборотная сторона новости # 2

Итак, если вина Ливии в катастрофе Локерби – это вполне уже очевидная и документально подтверждаемая фабрикация американских и английских спецслужб, то кто же тогда взорвал самолет?

Lockerbie-Disaster

На этот счет известно, что авиакомпания Pan American сразу после гибели своего лайнера нанимала для собственного расследования очень серьезную нью-йоркскую фирму Interfor, принадлежащую Ювалу Авиву (Juval Aviv), бывшему оперативнику израильской разведки Mossad.

Благодаря своим обширным связям в мире спецслужб, Авив уже в 1989 году установил, что рейс Pan Am 103 был регулярным каналом доставки героина из Европы в Америку. Причем канал этот для сирийских наркодельцов прикрывало ЦРУ США – в обмен на разведывательные данные о палестинских группах боевиков в Сирии. Но в тот день, когда произошла катастрофа, все пошло совсем не так, как происходило обычно. Террористы, тоже знавшие о канале, подменили кейс с героином, освобожденный от досмотра службы безопасности, на кейс со взрывчаткой.

По сути ту же самую версию событий, что восстановил Авив, в 1990 году подтвердил сотрудник американской военной разведки РУМО Лестер Коулмен (Lester Coleman), в подробностях рассказавший о сотрудничестве сирийских наркодельцов со спецслужбами США.

Более того, по имевшимся у Коулмена сведениям, именно этим, взорванным рейсом Pan Am 103 в США с Ближнего Востока возвращался инспектор ЦРУ, в ходе своей проверки убедившийся в фактах несанкционированного свыше сотрудничества разведки с наркомафией и намеренный устроить по этому поводу скандал в Вашингтоне…

За свою книгу «След Спрута» Лестер Коулмен был подвергнут столь серьезному прессингу со стороны американских спецслужб, что был вынужден перейти на нелегальное положение и попросить убежища в Швеции, став первым политэмигрантом из США со времен вьетнамской войны…

Оборотная сторона новости # 1

После всех этих леденящих душу подробностей – достаточно хорошо известных всем интересующимся, но никак не допускаемых до озвучивания в судах и обычно игнорируемых официальными СМИ – самое время вернуться к «новости номер 1» и пояснить, наконец, какая же тут имеется связь с руткитом в BIOS.

ortega-i-sacco

Упоминавшиеся выше исследователи из аргентинского тандема, Альфредо Ортега и Анибал Сакко, когда решили опробовать свои идеи и наработки в реальных условиях перепрограммирования BIOS, к великому удивлению обнаружили, что в коде чипа уже и без них живет кто-то посторонний. Поковырявшись с кодом, они установили, что непрошенным жильцом является весьма популярное на сегодняшний день «противоугонное средство» для ноутбуков, известное под названиями Computrace и LoJack.

Computrace / LoJack – это программный агент, устанавливаемый, среди прочего, на уровне прошивки BIOS-чипа и периодически (раз в несколько часов) связывающийся через сеть с единым центром управления. Туда он отправляет результаты сканирования приютившей его системы, а также получает инструкции в тех случаях, когда ноутбук заявлен как украденный или пропавший (после чего сигналит в центр уже каждые 15 минут).

Этот механизм связи позволяет из центра шпионить за новым владельцем, передавать BIOS-агенту команды на уничтожение всей информации в компьютере и/или на передачу сигналов, позволяющих отследить точное местоположение пропажи.

Для того, чтобы подобная технология была высокоэффективным противоугонным средством, разработан комплекс мер, делающих LoJack максимально невидимым в работе, имеющим полный доступ к управлению системой и в высшей степени устойчивым ко всем попыткам его уничтожения – типа переустановки системы, форматирования жесткого диска или перепрошивки флэш-памяти BIOS.

Согласно договоренностям, имеющимся у Absolute Software, фирмы-разработчика программы, почти со всеми заметными изготовителями ноутбуков (HP, Dell, Lenovo, Toshiba, Asus и прочие), LoJack не только активно встраивают в компьютеры уже на предпродажном этапе, но и изготовители ноутбуков сами подстраивают код шпиона под аппаратные особенности своих систем.

Изучив работу этой закладки, Сакко и Ортега продемонстрировали, что LoJack в действительности оказывается чрезвычайно опасным и неискоренимым BIOS-руткитом, который могут брать под контроль и использовать в своих целях криминальные хакеры.

Эту штуку, конечно, можно называть «законным руткитом», однако в потенциале своем данная закладка все равно продолжает оставаться чрезвычайно опасным средством из-за наличия каналов и мест в компьютере, не подлежащих никакому контролю со стороны владельца.

Хуже того, поскольку данный руткит считается заведомо законным, он прописан в «белых списках» общераспространенных антивирусных программ, поэтому и вредоносные модификации LoJack могут оставаться незамеченными в предположительно защищенной системе…

Мораль

Элементарно выводимая мораль из этих двух историй сводится к тому, что все мы, фактически, обречены раз за разом слушать одни и те же малоприятные известия.

Пока люди не будут иметь полный и осмысленный контроль за содержимым принадлежащего им компьютера, они все время будут слышать новости о выявлении еще одного укромного места, где могут скрываться неискоренимые вредоносные коды. Так уж устроены компьютеры

Аналогично, пока общество не поставит под свой полный контроль деятельность спецслужб, людей так и будут взрывать в самолетах и в домах, в автобусах и в метро. Так уж, увы, устроен наш мир.