Equation Group, жесткие диски и «Звезда смерти» от вредоносных программ

Исследователи из «Лаборатории Касперского» обнаружили новый набор инструментов для кибершпионажа, который больше чем похож на аналогичные наборы, используемые американскими спецслужбами.

В отчете, опубликованном в прошлый понедельник, московская охранная фирма подробно описала инструменты атаки, которые, по ее словам, были созданы «Equation Group»..

По словам Касперского, хакерская группа успешно проникла в тысячи правительственных учреждений, которые она называет «звездой смерти» вредоносного ПО..

Длинный список жертв включает военные органы, правительственные и дипломатические учреждения, исламских лидеров и тысячи фирм в аэрокосмической, финансовой, медиа, энергетической и технической отраслях..

Анализ инфраструктуры управления и контроля группы Equation показал, насколько широко она распространилась: около 300 доменов, а также более 100 серверов, расположенных в США, Великобритании, Италии, Германии, Панаме, Коста-Рике, Малайзии, Колумбии, Чехии. и много других.

Kaspersky описал набор инструментов, используемых Equation, назвав их так:

  • EQUATIONDRUG – Очень сложная платформа атаки, используемая группой на своих жертвах. Он поддерживает модульную систему плагинов, которая может быть динамически загружена и выгружена злоумышленниками..
  • DOUBLEFANTASY – Троян в стиле валидатора, предназначенный для подтверждения цели. Если цель подтверждена, они обновляются до более сложной платформы, такой как EQUATIONDRUG или GRAYFISH..
  • EQUESTRE – То же, что EQUATIONDRUG.
  • TRIPLEFANTASY – Полнофункциональный бэкдор, иногда используемый в тандеме с GRAYFISH. Похоже, обновление DOUBLEFANTASY, и, возможно, более поздний плагин в стиле валидатора.
  • GRAYFISH – Самая совершенная атакующая платформа от EQUATION Group. Он полностью находится в реестре, полагаясь на буткит, чтобы получить выполнение при запуске ОС.
  • ФАННИ – Компьютерный червь, созданный в 2008 году и используемый для сбора информации о целях на Ближнем Востоке и в Азии. Некоторые жертвы, по-видимому, были обновлены сначала до DoubleFantasy, а затем до системы EQUATIONDRUG..
    Фанни использовала эксплойты для двух уязвимостей нулевого дня, которые позже были обнаружены с помощью Stuxnet.
  • EQUATIONLASER – Ранний имплантат из группы EQUATION, использовался в 2001-2004 гг. Совместим с Windows 95/98 и создан между DOUBLEFANTASY и EQUATIONDRUG.

Исследователи Касперского также предупредили, что список инструментов вряд ли будет исчерпывающим, предполагая, что в Equation может появиться больше сюрпризов к весне.

К сожалению, некоторые из инструментов, обнаруженных Касперским, имеют сходство со старыми фаворитами, включая вредоносное ПО Flame и Stuxnet, предназначенные для иранских ядерных реакторов под руководством президента США Барака Обамы..

Инструменты Equation были обнаружены на «десятках популярных брендов жестких дисков», и, по словам Костина Райу, директора глобальной группы исследований и анализа «Лаборатории Касперского», они могли оставаться как незамеченными, так и неустранимыми – вредоносная программа заражала прошивку на дисках, позволяя ей «Воскресить» сам, даже после того, как диск был переформатирован или операционная система была переустановлена.

Раю объяснил:

«Как только жесткий диск заражен этой вредоносной полезной нагрузкой, невозможно проверить его встроенное ПО. Проще говоря: для большинства жестких дисков существуют функции для записи в область аппаратного / встроенного программного обеспечения, но нет функций для их считывания..

Это означает, что мы практически слепы и не можем обнаружить жесткие диски, зараженные этим вредоносным ПО ».

Используя инструмент Grayfish, Equation также создает скрытую и постоянную область на жестком диске, которая затем используется для сохранения украденных данных, которые могут быть позднее собраны злоумышленниками и использованы для взлома протоколов шифрования. Raiu объяснил, как Grayfish работает при загрузке, делая захват зашифрованных паролей относительным бризом.

Сетевой доступ к машинам даже не является обязательным условием для установки Equation на диск – Раю объяснил, что компонент Fanny представляет особый интерес, поскольку он способен обходить защиту воздушной прослойки и может передаваться с помощью «уникальной команды на основе USB и механизм управления », используя USB-накопители со скрытым разделом, который можно использовать для сбора системных данных из системы при установке и активации.

Когда USB-накопитель будет позже подключен к системе с подключением к Интернету, он будет пересылать сохраненные данные на свои серверы управления и контроля..

Kaspersky начал отслеживать группу Equation после анализа компьютера, принадлежащего ближневосточному исследовательскому институту в 2008 году. Он обнаружил, что компонент Fanny используется для атаки неизвестных уязвимостей с помощью двух эксплойтов нулевого дня, которые впоследствии были обнаружены для кодирования в Stuxnet..

Несмотря на такое сильное цифровое сходство с компонентами Stuxnet, представитель АНБ не подтвердил причастность США к Equation, заявив, что агентство было осведомлено об отчете, но не желало обсуждать или передавать какие-либо комментарии по нему..

Главное изображение: Ян Буньян / Public Domain Pictures.net

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me