Έχει περάσει καιρός από τη τελευταία μας δημοσίευση για κάποιο πρόγραμμα υποκλοπών της αμερικανικής NSA (National Security Agency, Εθνική Υπηρεσία Ασφαλείας) και γι’αυτό εδώ θα δούμε το «HALLUXWATER». Ένα πρόγραμμα το οποίο διέρρευσε το 2013 από τον κατάλογο της ομάδας ANT (Advanced Network Technology, Προχωρημένη Τεχνολογία Δικτύων) του τμήματος TAO (Tailored Access Operations, Επιχειρήσεις Βελτιωμένης Πρόσβασης). Μπορείτε να μελετήσετε τα υπόλοιπα άρθρα μας από την ίδια διαρροή παρακάτω.

Αυτό ήταν (και πιθανότατα είναι ακόμα) ένα λογισμικό που προστέθηκε στο διαδικτυακό οπλοστάσιο της NSA στις 24 Ιουνίου του 2008 και περιγράφεται ως τεχνολογία έτοιμη προς χρήση. Βλέπουμε στη σελίδα της διαρροής ότι είχε διαβάθμιση TS//SI (TOP SECRET//SIGNALS INTELLIGENCE, Άκρως απόρρητο//Υποκλοπές πληροφοριών) και περιγράφεται, σε ελληνική απόδοση, ως εξής.

Το HALLUXWATER είναι ένα λογισμικό πίσω πόρτας που εγκαθίσταται σε ένα στόχο-συσκευή firewall μοντέλου Huawei Eudemon ως αναβάθμιση της μνήμης εκκίνησης ROM. Όταν ο στόχος κάνει επανεκκίνηση, το πρόγραμμα θα εντοπίσει τα σημεία που πρέπει να μεταβάλει και θα εγκαταστήσει μία ρουτίνα επεξεργασίας των εισερχόμενων δεδομένων.

Μετά την εγκατάσταση, το HALLUXWATER επικοινωνεί με ένα χειριστή της NSA μέσω του προγράμματος εισαγωγής TURBOPANDA, προσφέροντας στο χειριστή κρυφή πρόσβαση για ανάγνωση και γραφή στη μνήμη της συσκευής, εκτέλεση προγραμμάτων, ή υποκλοπή δεδομένων.

Το HALLUXWATER παρέχει ικανότητα διατήρησης πρόσβασης στις σειρές συσκευών firewall Eudemon 200, 500, και 1000. Το πρόγραμμα HALLUXWATER μπορεί να επιβιώσει από αναβαθμίσεις λειτουργικού συστήματος και αυτόματες ενημερώσεις της μνήμης εκκίνησης ROM.

Παραπάνω έχουμε παραθέσει το σχεδιάγραμμα λειτουργίας του επίσης σε ελληνική απόδοση. Πρακτικά, αυτό που μας λέει είναι ότι όταν ένας ειδικός της NSA καταφέρει να πάρει πρόσβαση σε συσκευές firewall του οργανισμού-στόχου του, εάν αυτές είναι τα μοντέλα Eudemon 200, 500, ή 1000 της κινέζικης εταιρίας Huawei, τότε μπορεί να χρησιμοποιήσει το HALLUXWATER για να ανοίξει μία κρυφή «πίσω πόρτα» επικοινωνίας. Βλέπετε ένα firewall (τοίχος προστασίας) Huawei Eudemon 1000 παρακάτω.

Οι περισσότερες εταιρίες-οργανισμοί τοποθετούν αυτές τις συσκευές ανάμεσα στα εσωτερικά δίκτυα τους και το διαδίκτυο για να προστατεύουν το δίκτυο από εξωτερικές-διαδικτυακές απειλές. Εδώ όμως βλέπουμε ότι η NSA τουλάχιστον από το 2008 είχε ένα αρκετά προχωρημένο λογισμικό υποκλοπών για αυτές τις συσκευές. Έτσι θα μπορούσε να υποκλέψει δεδομένα που περνάνε από εκεί, ή να προχωρήσει σε πρόσβαση στα εσωτερικά δίκτυα χωρίς να γίνει αντιληπτή. Σίγουρα ένα πολύ ενδιαφέρον πρόγραμμα που ελπίζουμε μία μέρα να βγει δημόσια για να αναλύσουμε το τρόπο λειτουργίας του.