O Equation Group, discos rígidos e a Estrela da Morte de malware

Pesquisadores da Kaspersky Lab descobriram um novo conjunto de ferramentas de espionagem cibernética que possui mais do que uma semelhança passageira com kits semelhantes usados ​​pelas agências de inteligência dos EUA.

Em um relatório divulgado na segunda-feira passada, a empresa de segurança com sede em Moscou detalhou as ferramentas de ataque que, segundo ela, foram criadas pelo “Grupo de Equações”.

O grupo de hackers, diz Kaspersky, se infiltrou em milhares de agências governamentais com o que descreve como a “Estrela da Morte” de malware.

A longa lista de vítimas inclui órgãos militares, instituições governamentais e diplomáticas, líderes islâmicos e milhares de empresas nos setores aeroespacial, financeiro, de mídia, de energia e de tecnologia.

A análise da infra-estrutura de comando e controle do grupo Equation revelou a extensão da disseminação, com cerca de 300 domínios e mais de 100 servidores localizados nos EUA, Reino Unido, Itália, Alemanha, Panamá, Costa Rica, Malásia, Colômbia e República Tcheca. e muitos outros.

A Kaspersky descreveu uma coleção de ferramentas utilizadas pela Equation, denominando-as como:

  • EQUATIONDRUG – Uma plataforma de ataque muito complexa usada pelo grupo em suas vítimas. Ele suporta um sistema de plug-in de módulo, que pode ser carregado e descarregado dinamicamente pelos atacantes.
  • DOUBLEFANTASY – Um Trojan no estilo de validador, projetado para confirmar que o alvo é o pretendido. Se o destino for confirmado, eles serão atualizados para uma plataforma mais sofisticada, como EQUATIONDRUG ou GRAYFISH.
  • EQUESTRE – O mesmo que EQUATIONDRUG.
  • TRIPLEFANTASY – Backdoor completo, às vezes usado em conjunto com GREYFISH. Parece uma atualização do DOUBLEFANTASY e é possivelmente um plugin mais recente no estilo de validador.
  • GREYFISH – A plataforma de ataque mais sofisticada do grupo EQUATION. Ele reside completamente no registro, contando com um kit de inicialização para obter execução na inicialização do SO.
  • FANNY – Um worm de computador criado em 2008 e usado para coletar informações sobre alvos no Oriente Médio e na Ásia. Algumas vítimas parecem ter sido atualizadas primeiro para o DoubleFantasy e depois para o sistema EQUATIONDRUG.
    Fanny usou explorações para duas vulnerabilidades de dia zero que foram descobertas mais tarde com o Stuxnet.
  • EQUATIONLASER – Um implante precoce do grupo EQUATION, usado em torno de 2001-2004. Compatível com Windows 95/98 e criado em algum momento entre DOUBLEFANTASY e EQUATIONDRUG.

Os pesquisadores da Kaspersky também alertaram que é improvável que a lista de ferramentas seja exaustiva, sugerindo que a Equação ainda pode ter mais surpresas para surgir.

O preocupante é que algumas das ferramentas descobertas por Kaspersky têm semelhanças com os antigos favoritos, incluindo o malware Flame e o Stuxnet, que visavam reatores nucleares iranianos sob a direção do presidente dos EUA, Barack Obama..

As ferramentas Equation foram descobertas em “dezenas de marcas populares de HDD” e, de acordo com Costin Raiu, diretor da equipe global de pesquisa e análise da Kaspersky Lab, conseguiram permanecer indetectáveis ​​e irremovíveis – o malware infectou o firmware nas unidades, permitindo “Ressuscitar”, mesmo depois que uma unidade foi reformatada ou o sistema operacional foi reinstalado.

Raiu explicou:

“Depois que o disco rígido é infectado com essa carga maliciosa, é impossível verificar seu firmware. Simplificando: para a maioria dos discos rígidos, existem funções para gravar na área de hardware / firmware, mas não há funções para lê-lo novamente.

Isso significa que somos praticamente cegos e não podemos detectar discos rígidos que foram infectados por esse malware. ”

Usando a ferramenta Grayfish, a Equation também cria uma área oculta e persistente em um disco rígido, que é usada para salvar dados roubados que podem ser coletados posteriormente pelos atacantes e usados ​​para quebrar os protocolos de criptografia. Raiu explicou como o Grayfish roda na inicialização, tornando a captura de senhas criptografadas uma brisa relativa.

O acesso da rede às máquinas nem é um pré-requisito essencial para obter o Equation em uma unidade – Raiu explicou que o componente Fanny era de particular interesse, pois tinha a capacidade de contornar as defesas do airgap e poderia ser propagado através de um “comando único baseado em USB e mecanismo de controle ”, usando pen drives com uma partição oculta que pode ser usada para coletar dados do sistema quando instalado e ativado.

Quando o pendrive USB for posteriormente conectado a um sistema com conectividade à Internet, ele encaminhará os dados armazenados para seus servidores de comando e controle.

A Kaspersky começou a seguir o grupo Equation depois de analisar um computador pertencente a um instituto de pesquisa do Oriente Médio em 2008. Ele descobriu que o componente Fanny estava sendo usado para atacar vulnerabilidades desconhecidas com duas explorações de dia zero, que foram descobertas posteriormente como codificadas no Stuxnet.

Apesar de uma semelhança digital tão forte com os componentes do Stuxnet, um porta-voz da NSA não confirmou o envolvimento dos EUA na Equação, dizendo que a agência estava ciente do relatório, mas não estava disposta a discutir ou fazer comentários sobre ele..

Imagem em destaque: Ian Bunyan / Domínio Público Pictures.net

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me