Grupa równań, dyski twarde i gwiazda śmierci złośliwego oprogramowania


Naukowcy z Kaspersky Lab odkryli nowy zestaw narzędzi do szpiegostwa cybernetycznego, który ma więcej niż tylko podobieństwo do podobnych zestawów używanych przez amerykańskie agencje wywiadowcze.

W raporcie opublikowanym w zeszły poniedziałek moskiewska firma ochroniarska szczegółowo opisała narzędzia ataku, które według niej zostały stworzone przez „Equation Group”.

Grupa hakerów, jak twierdzi Kaspersky, skutecznie zinfiltrowała tysiące agencji rządowych za pomocą „gwiazdy śmierci” złośliwego oprogramowania.

Długa lista ofiar obejmuje organy wojskowe, instytucje rządowe i dyplomatyczne, przywódców islamskich i tysiące firm z branży lotniczej, finansowej, medialnej, energetycznej i technologicznej.

Analiza infrastruktury dowodzenia i kontroli grupy Equation ujawniła jej rozpowszechnienie, obejmujące około 300 domen oraz ponad 100 serwerów zlokalizowanych w USA, Wielkiej Brytanii, Włoszech, Niemczech, Panamie, Kostaryce, Malezji, Kolumbii, Czechach i wiele innych.

Kaspersky opisał kolekcję narzędzi wykorzystywanych przez Equation, nazywając je jako:

  • EQUATIONDRUG – Bardzo złożona platforma ataku używana przez grupę na jej ofiarach. Obsługuje system wtyczek modułowych, który może być dynamicznie ładowany i rozładowywany przez atakujących.
  • DOUBLEFANTASY – Trojan w stylu walidatora, zaprojektowany w celu potwierdzenia, że ​​celem jest cel. Jeśli cel zostanie potwierdzony, zostaną uaktualnione do bardziej wyrafinowanej platformy, takiej jak EQUATIONDRUG lub GRAYFISH.
  • EQUESTRE – Taki sam jak EQUATIONDRUG.
  • TRÓJFANTASIA – W pełni funkcjonalny backdoor czasami używany w połączeniu z GRAYFISH. Wygląda jak aktualizacja DOUBLEFANTASY i jest prawdopodobnie najnowszą wtyczką w stylu walidatora.
  • GRAYFISH – Najbardziej zaawansowana platforma ataku z grupy EQUATION. Znajduje się całkowicie w rejestrze, polegając na bootkicie, aby uzyskać wykonanie podczas uruchamiania systemu operacyjnego.
  • DUPA – Robak komputerowy stworzony w 2008 roku i wykorzystywany do zbierania informacji o celach na Bliskim Wschodzie i w Azji. Wygląda na to, że niektóre ofiary zostały najpierw uaktualnione do DoubleFantasy, a następnie do systemu EQUATIONDRUG.
    Fanny wykorzystała exploity do dwóch luk w zabezpieczeniach zero-day, które zostały później odkryte w Stuxnet.
  • EQUATIONLASER – Wczesny implant z grupy EQUATION, używany około 2001-2004. Kompatybilny z Windows 95/98 i utworzony między DOUBLEFANTASY a EQUATIONDRUG.

Badacze z Kaspersky Lab ostrzegali również, że lista narzędzi prawdopodobnie nie będzie wyczerpująca, co sugeruje, że Equation może jeszcze mieć więcej niespodzianek.

Niepokojące jest to, że niektóre narzędzia odkryte przez Kaspersky mają podobieństwa ze starymi ulubionymi, w tym szkodliwe oprogramowanie Flame i Stuxnet, które atakowały irańskie reaktory jądrowe pod kierownictwem prezydenta USA Baracka Obamy.

Narzędzia Equation zostały odkryte na „dziesiątkach popularnych marek dysków twardych” i, według Costina Raiu, dyrektora globalnego zespołu badań i analiz Kaspersky Lab, były w stanie pozostać niewykryte i nieusuwalne – złośliwe oprogramowanie zainfekowało oprogramowanie na dyskach, umożliwiając mu Sam „wskrzesza”, nawet po sformatowaniu dysku lub ponownej instalacji systemu operacyjnego.

Raiu wyjaśnił:

„Gdy tylko dysk twardy zostanie zainfekowany tym złośliwym oprogramowaniem, nie jest możliwe skanowanie jego oprogramowania układowego. Mówiąc najprościej: w przypadku większości dysków twardych są funkcje zapisu w obszarze sprzętu / oprogramowania układowego, ale nie ma funkcji, aby je odczytać.

Oznacza to, że jesteśmy praktycznie ślepi i nie jesteśmy w stanie wykryć dysków twardych zainfekowanych tym złośliwym oprogramowaniem. ”

Korzystając z narzędzia Grayfish, Equation tworzy również ukryty i trwały obszar na dysku twardym, który jest następnie używany do zapisywania skradzionych danych, które mogą zostać później zebrane przez atakujących i wykorzystane do złamania protokołów szyfrowania. Raiu wyjaśnił, jak Grayfish działa przy starcie, dzięki czemu przechwytywanie zaszyfrowanych haseł jest względnie proste.

Dostęp sieciowy do maszyn nie jest nawet niezbędnym warunkiem przeniesienia równania na dysk – Raiu wyjaśnił, że komponent Fanny był szczególnie interesujący, ponieważ miał zdolność do omijania obrony powietrznej i może być propagowany poprzez „unikalne polecenie oparte na USB i mechanizm kontrolny ”za pomocą pamięci USB z ukrytą partycją, która może być używana do zbierania danych systemowych z systemu po zainstalowaniu i aktywacji.

Kiedy pamięć USB zostanie później podłączona do systemu z łączem internetowym, prześle zapisane dane do serwerów dowodzenia i kontroli.

Kaspersky rozpoczął śledzenie grupy Equation po analizie komputera należącego do instytutu badawczego na Bliskim Wschodzie w 2008 roku. Odkrył, że komponent Fanny służy do atakowania nieznanych luk w zabezpieczeniach za pomocą dwóch exploitów zero-day, z których oba zostały później zakodowane w Stuxnet.

Pomimo tak silnego cyfrowego podobieństwa do elementów Stuxnet, rzecznik NSA nie potwierdziłby zaangażowania USA w Equation, mówiąc, że agencja była świadoma raportu, ale niechętnie omawiała go lub komentowała.

Polecany obraz: Ian Bunyan / Public Domain Pictures.net

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map