Kumpulan Persamaan, cakera keras dan Death Star malware

Penyelidik di Kaspersky Lab telah menemui alat ukur siber-spionase baru yang mempunyai lebih daripada persamaan lulus ke kit serupa yang digunakan oleh agensi perisikan AS.

Dalam sebuah laporan yang dikeluarkan pada Isnin lepas, firma keselamatan yang berpangkalan di Moscow menyatakan alat serangan yang dikatakan dicipta oleh “Kumpulan Persamaan”.

Kelompok peretas, Kaspersky mengatakan, berjaya menyusup ribuan agensi pemerintah dengan apa yang digambarkan sebagai “Bintang Kematian” malware.

Senarai panjang mangsa termasuk badan-badan tentera, institusi kerajaan dan diplomatik, pemimpin Islam dan beribu-ribu firma di seluruh industri aeroangkasa, kewangan, media, tenaga dan teknologi.

Analisis struktur komando dan kawalan kumpulan Persamaan mendedahkan betapa luasnya penyebarannya telah menjadi, yang mempunyai 300 domain dan lebih 100 pelayan yang terletak di AS, UK, Itali, Jerman, Panama, Costa Rica, Malaysia, Colombia, Republik Czech dan banyak lagi.

Kaspersky menggambarkan koleksi alat yang digunakan oleh Persamaan, menamakannya sebagai:

  • EQUATIONDRUG – Platform serangan yang sangat kompleks yang digunakan oleh kumpulan pada mangsa. Ia menyokong sistem plugin modul, yang boleh dimuat naik secara dinamik dan dipunggah oleh penyerang.
  • DOUBLEFANTASY – Trojan gaya pengesan, yang direka untuk mengesahkan sasaran adalah yang dimaksudkan. Sekiranya sasaran itu disahkan, mereka akan ditingkatkan ke platform yang lebih canggih seperti EQUATIONDRUG atau GRAYFISH.
  • EQUESTRE – Sama seperti EQUATIONDRUG.
  • TRIPLEFANTASY – Pintu belakang penuh ciri yang kadang-kadang digunakan bersama-sama GRAYFISH. Nampaknya peningkatan dari DOUBLEFANTASY, dan mungkin plugin pemuat validator yang lebih terkini.
  • GRAYFISH – Platform serangan paling canggih dari Kumpulan EQUATION. Ia tinggal sepenuhnya dalam registri, bergantung kepada bootkit untuk mendapatkan pelaksanaan pada permulaan OS.
  • FANNY – Cacing komputer dibuat pada tahun 2008 dan digunakan untuk mengumpulkan maklumat mengenai sasaran di Timur Tengah dan Asia. Sesetengah mangsa kelihatan telah dinaik taraf terlebih dahulu kepada DoubleFantasy, dan kemudian ke sistem EQUATIONDRUG.
    Fanny menggunakan eksploitasi untuk dua kelemahan sifar hari yang kemudiannya ditemui dengan Stuxnet.
  • EQUATIONLASER – Satu implan awal dari kumpulan EQUATION, yang digunakan sekitar2001-2004. Serasi dengan Windows 95/98, dan dibuat beberapa kali antara DOUBLEFANTASY dan EQUATIONDRUG.

Penyelidik Kaspersky juga memberi amaran bahawa senarai alat tidak mungkin lengkap, menunjukkan Persamaan mungkin masih mempunyai lebih banyak kejutan untuk musim bunga.

Bimbang, beberapa alat yang ditemui oleh Kaspersky mempunyai kesamaan dengan kegemaran lama termasuk malware Flame dan Stuxnet yang menyasarkan reaktor nuklear Iran di bawah arahan Presiden AS Barack Obama.

Alat Persamaan telah ditemui pada “berpuluh-puluh jenama HDD yang popular” dan menurut Costin Raiu, pengarah pasukan penyelidikan dan analisis global Kaspersky Lab, dapat tetap tidak dapat dikesan dan tidak dapat dikesan – malware itu menjangkiti firmware pada pemacu, membolehkannya “Bangkit” sendiri, walaupun selepas pemacu telah diformat semula atau sistem operasi telah dipasang semula.

Raiu menjelaskan:

“Setelah pemacu keras dijangkiti dengan muatan jahat ini, adalah mustahil untuk mengimbas firmware. Untuk meletakkannya dengan mudah: untuk kebanyakan cakera keras terdapat fungsi untuk menulis ke dalam kawasan perkakasan / firmware, tetapi tidak ada fungsi untuk membacanya kembali.

Ini bermakna bahawa kami hampir buta, dan tidak dapat mengesan cakera keras yang telah dijangkiti oleh perisian hasad ini. “

Menggunakan alat Grayfish, Persamaan juga mewujudkan kawasan yang tersembunyi dan berterusan pada cakera keras yang kemudiannya digunakan untuk menyimpan data yang dicuri yang boleh dikumpulkan pada masa yang kemudian oleh penyerang dan digunakan untuk melanggar protokol penyulitan. Raiu menjelaskan bagaimana Grayfish berjalan pada boot, menjadikan penangkapan kata laluan yang dienkripsi angin angin relatif.

Akses rangkaian ke mesin bukanlah prasyarat penting untuk mendapatkan Persamaan pada pemacu – Raiu menjelaskan bahawa komponen Fanny mempunyai kepentingan khusus kerana ia mempunyai keupayaan untuk memintas pertahanan udara dan boleh disebarkan melalui “perintah berasaskan USB yang unik dan mekanisme kawalan, “menggunakan tongkat USB dengan partition tersembunyi yang boleh digunakan untuk mengumpul data sistem dari sistem apabila dipasang dan diaktifkan.

Apabila batang USB kemudian dipasangkan ke dalam sistem dengan sambungan internet, ia akan memajukan data yang disimpan ke pelayan arahan dan kawalannya.

Kaspersky mula mengejar kumpulan Persamaan selepas menganalisis sebuah komputer kepunyaan sebuah institut penyelidikan Timur Tengah pada tahun 2008. Ia mendapati komponen Fanny digunakan untuk menyerang kelemahan yang tidak diketahui dengan dua eksploitasi sifar hari, kedua-duanya kemudiannya ditemui untuk dikodkan ke Stuxnet.

Meskipun begitu, persamaan digital yang kuat terhadap komponen Stuxnet, jurucakap NSA tidak akan mengesahkan penglibatan AS dalam Persamaan, dengan mengatakan bahawa agensi itu mengetahui laporan itu tetapi tidak ingin membincangkan atau menyampaikan sebarang komen mengenainya.

Imej yang dipilih: Ian Bunyan / Domain Awam Pictures.net

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me