Vienādojumu grupa, cietie diski un ļaunprātīgas programmatūras Death Star

Vienādojumu grupa, cietie diski un ļaunprātīgas programmatūras Death Star

Kaspersky Lab pētnieki ir atklājuši jaunu kiberspiegijas rīku komplektu, kas vairāk nekā līdzīgi atgādina līdzīgus komplektus, kurus izmanto ASV izlūkošanas aģentūras.

Pagājušajā pirmdienā publicētajā ziņojumā Maskavā bāzētā apsardzes firma sīki aprakstīja uzbrukuma rīkus, kurus, pēc tās teiktā, izveidoja “Equation Group”.

Hakeru grupa, Kaspersky saka, veiksmīgi iefiltrējusies tūkstošiem valdības aģentūru ar to, ko tā raksturo kā ļaunprātīgas programmatūras “Nāves zvaigzni”.

Garajā upuru sarakstā ir militāras struktūras, valdības un diplomātiskās iestādes, islāma līderi un tūkstošiem firmu visā aviācijas, finanšu, plašsaziņas līdzekļu, enerģētikas un tehnoloģiju nozarē..

Vienādojumu grupas vadības un kontroles infrastruktūras analīze atklāja, cik plaši tā ir kļuvusi, ietverot aptuveni 300 domēnus, kā arī vairāk nekā 100 serverus, kas atrodas ASV, Lielbritānijā, Itālijā, Vācijā, Panamā, Kostarikā, Malaizijā, Kolumbijā, Čehijā un daudzi citi.

Kaspersky aprakstīja Equation izmantoto rīku kolekciju, nosaucot tos par:

  • EQUATIONDRUG - Ļoti sarežģīta uzbrukuma platforma, kuru grupa izmanto saviem upuriem. Tas atbalsta moduļa spraudņu sistēmu, kuru uzbrucēji var dinamiski augšupielādēt un izkraut.
  • DUBULTIFANTĀZIJA - Validētāja stila Trojas zirgs, kas paredzēts mērķa apstiprināšanai. Ja mērķis tiek apstiprināts, viņi tiek jaunināti uz sarežģītāku platformu, piemēram, EQUATIONDRUG vai GREYFISH..
  • VĒRTS - tāds pats kā EQUATIONDRUG.
  • TRIPLEFANTĀZIJA - Pilnībā aprīkotas aizmugures durvis, kuras dažreiz tiek izmantotas kopā ar PELĒNI. Izskatās pēc DOUBLEFANTASY jaunināšanas un, iespējams, ir jaunāks validator stila spraudnis.
  • PELĒNI - Sarežģītākā uzbrukuma platforma no grupas EQUATION. Tas pilnībā atrodas reģistrā, paļaujoties uz sāknēšanas komplektu, lai iegūtu izpildi OS startēšanas laikā.
  • FANNY - Datortārps, kas izveidots 2008. gadā un ko izmanto, lai savāktu informāciju par mērķiem Tuvajos Austrumos un Āzijā. Šķiet, ka daži upuri vispirms ir jaunināti uz DoubleFantasy un pēc tam uz EQUATIONDRUG sistēmu.
    Fanny izmantoja divus nulles dienas ievainojamības, kas vēlāk tika atklāti, izmantojot Stuxnet.
  • EQUATIONLASER - Agrīns implantāts no grupas EQUATION, lietots apmēram no 2001. līdz 2004. gadam. Savietojams ar Windows 95/98, un dažreiz izveidots starp DOUBLEFANTASY un EQUATIONDRUG.

Kaspersky pētnieki arī brīdināja, ka rīku saraksts, visticamāk, nebija izsmeļošs, liekot domāt, ka vienādojumam vēl var būt vairāk pārsteigumu līdz pavasarim.

Satraucoši, ka dažiem no Kaspersky atklātajiem rīkiem ir līdzības ar vecajiem favorītiem, tostarp ļaunprātīgo programmatūru Flame un Stuxnet, kas bija vērsti uz Irānas kodolreaktoriem ASV prezidenta Baraka Obamas vadībā..

Vienādošanas rīki tika atklāti “desmitiem populāru HDD zīmolu”, un, kā sacīja Kaspersky Lab globālās pētījumu un analīzes grupas direktors Costins Raiu, viņi varēja palikt gan neatklāti, gan nenovēršami - ļaunprogrammatūra inficēja diskdziņu programmaparatūru, ļaujot tai Pati “atjaunojas” pat pēc diska formatēšanas vai operētājsistēmas atkārtotas instalēšanas.

Raiu paskaidroja:

Tiklīdz cietais disks ir inficēts ar šo ļaunprātīgo kravas daudzumu, nav iespējams skenēt tā programmaparatūru. Vienkārši sakot: lielākajai daļai cieto disku ir funkcijas, kuras var ierakstīt aparatūras / programmaparatūras apgabalā, bet nav funkciju to lasīt.

Tas nozīmē, ka mēs esam praktiski akli un nevaram atklāt cietos diskus, kas ir inficēti ar šo ļaunprogrammatūru. ”

Izmantojot pelēko zivju rīku, vienādojums arī izveido slēptu un noturīgu zonu cietajā diskā, ko pēc tam izmanto, lai saglabātu nozagtos datus, kurus uzbrucēji vēlāk var savākt un izmantot šifrēšanas protokolu laušanai. Raiu paskaidroja, kā Pelēkā zivs darbojas sāknēšanas laikā, padarot šifrētu paroļu uztveršanu par relatīvu brīzi.

Tīkla piekļuve mašīnām nav pat būtisks priekšnoteikums, lai iegūtu vienādojumu ar disku - Raiu paskaidroja, ka Fanny komponents ir īpaši ieinteresēts, jo tam ir spēja apiet lidmašīnas līmeņa aizsardzību un to var izplatīt, izmantojot “unikālu komandu, kuras pamatā ir USB, un kontroles mehānisms ”, izmantojot USB zibatmiņas ar slēptu nodalījumu, ko varētu izmantot, lai savāktu sistēmas datus no sistēmas, kad tā ir instalēta un aktivizēta.

Kad USB atmiņas karti vēlāk pievienos sistēmai ar interneta savienojumu, tā pārsūtīs saglabātos datus uz saviem komandu un vadības serveriem.

Kaspersky sāka izsekot vienādojumu grupai pēc tam, kad 2008. gadā tika analizēts Tuvo Austrumu pētniecības institūtam piederošs dators. Tajā tika atklāts komponents Fanny, kas tiek izmantots, lai uzbruktu nezināmām ievainojamībām, izmantojot divus nulles dienas ekspluatācijas gadījumus, kuri abi vēlāk tika atklāti kodēti Stuxnet..

Neskatoties uz tik spēcīgo Stuxnet komponentu digitālo līdzību, NSA pārstāvis neapstiprina ASV iesaistīšanos Equation, sakot, ka aģentūra apzinājās ziņojumu, bet nevēlas to apspriest vai komentēt..

Piedāvātais attēls: Ian Bunyan / Public Domain Pictures.net

Vienādojumu grupa, cietie diski un ļaunprātīgas programmatūras Death Star
admin Author
Sorry! The Author has not filled his profile.