Equation Group, trdi diski in Death Star zlonamerne programske opreme

Equation Group, trdi diski in Death Star zlonamerne programske opreme

Raziskovalci laboratorija Kaspersky so odkrili nov nabor orodij za spletno vohunjenje, ki je več kot podoben podobnim paketom, ki jih uporabljajo ameriške obveščevalne agencije.

V poročilu, objavljenem prejšnji ponedeljek, je moskovsko varnostno podjetje podrobno opisalo orodja za napad, za katere pravi, da jih je ustvarila skupina za izenačevanje..

Hekerska skupina, pravi Kaspersky, se je uspešno vdrla v tisoče vladnih agencij s tem, kar opisuje kot "zvezda smrti" zlonamerne programske opreme.

Dolg seznam žrtev vključuje vojaške organe, vladne in diplomatske ustanove, islamske voditelje in na tisoče podjetij v vesoljski, finančni, medijski, energetski in tehnološki industriji..

Analiza ukazovalne in nadzorne infrastrukture skupine Equation je pokazala, kako široko se je razširila, na katerem je približno 300 domen in več kot 100 strežnikov, ki se nahajajo v ZDA, Veliki Britaniji, Italiji, Nemčiji, Panami, Kostariki, Maleziji, Kolumbiji, na Češkem in mnogi drugi.

Kaspersky je opisal zbirko orodij, ki jih uporablja Equation, in jih poimenoval kot:

  • EQUATIONDRUG - Zelo kompleksna platforma napada, ki jo skupina uporablja za svoje žrtve. Podpira modulski sistem vtičnikov, ki jih napadalci lahko dinamično naložijo in razložijo.
  • DVOJNOSTI - Trojanski trojanski slog, namenjen potrditvi cilja, je predvideni. Če je cilj potrjen, se nadgradijo na bolj sofisticirano platformo, kot sta EQUATIONDRUG ali GRAYFISH.
  • EQUESTRE - Enako kot EQUATIONDRUG.
  • TRIPLEFANTASIJA - Popolna zunanja vrata, ki se včasih uporabljajo v tandemu z GREYFISH. Videti je kot nadgradnja DOUBLEFANTASY in je verjetno novejši vtičnik v slogu validatorja.
  • GREYFISH - Najbolj izpopolnjena napadalna platforma skupine EQUATION. Popolnoma prebiva v registru in se zanaša na zagonski program za pridobitev izvršitve ob zagonu OS.
  • FANNY - Računalniški črv, ustvarjen leta 2008, ki se uporablja za zbiranje informacij o ciljih na Bližnjem vzhodu in Aziji. Zdi se, da so nekatere žrtve nadgradile najprej na DoubleFantasy in nato na sistem EQUATIONDRUG.
    Fanny je izkoristil izkoriščanja za dve ranljivosti, ki sta bili brez vsakega dne, ki so jih kasneje odkrili pri Stuxnetu.
  • EQUATIONLASER - zgodnji vsadek iz skupine EQUATION, ki so ga uporabljali okoli leta 2001 in 2004. Združljiv z operacijskim sistemom Windows 95/98 in ustvarjen nekje med DOUBLEFANTASY in EQUATIONDRUG.

Raziskovalci Kasperskega so prav tako opozorili, da seznam orodij verjetno ne bo izčrpen, kar kaže, da bo Enačba morda še presenetila spomladi.

Zaskrbljujoče je, da imajo nekatera orodja, ki jih je odkril Kaspersky, podobnosti s starimi priljubljenimi, vključno z zlonamerno programsko opremo Plamen in Stuxnet, ki so ciljali na iranske jedrske reaktorje pod vodstvom ameriškega predsednika Baracka Obame.

Orodja Equation so bila odkrita na "ducatih priljubljenih znamk trdega diska" in po besedah ​​Costina Raiuja, direktorja globalne raziskovalne in analizne ekipe Kaspersky Lab, so lahko ostali neopaženi in nenadomestljivi - zlonamerna programska oprema je okužila vdelano programsko opremo na pogonih, kar ji omogoča "Vstali", tudi po preoblikovanju pogona ali ponovnem nameščanju operacijskega sistema.

Raiu je pojasnil:

»Ko se trdi disk okuži s to zlonamerno uporabno obremenitvijo, ni mogoče skenirati njegove programske opreme. Preprosto povedano: za večino trdih diskov obstajajo funkcije za zapisovanje v področje strojne / strojne programske opreme, vendar ni funkcij, ki bi jih lahko prebrale nazaj.

To pomeni, da smo praktično slepi in ne moremo zaznati trdih diskov, ki so bili okuženi s to zlonamerno programsko opremo. "

S pomočjo orodja Grayfish ustvari skrito in obstojno območje na trdem disku, ki se nato uporabi za shranjevanje ukradenih podatkov, ki jih lahko napadalci pozneje zberejo in uporabijo za razbijanje šifrirnih protokolov. Raiu je razložil, kako siva riba teče ob zagonu, zaradi česar je zajem šifriranih gesel sorazmerno lahek.

Dostop do omrežij do strojev niti ni bistven pogoj za to, da se Equation vključi v pogon - Raiu je pojasnil, da je komponenta Fanny še posebej zanimiva, saj je bila sposobna zaobiti zaščito airgapa in jo je mogoče razširjati s pomočjo "edinstvenega ukaza na osnovi USB in krmilni mehanizem ", z uporabo USB ključkov s skrito particijo, ki jih je mogoče uporabiti za zbiranje sistemskih podatkov iz sistema, ko so nameščeni in aktivirani.

Ko bo USB ključ pozneje priključen v sistem z internetno povezljivostjo, bo shranjene podatke posredoval njegovim ukaznim in nadzornim strežnikom.

Kaspersky je začel analizirati skupino Equation, potem ko je leta 2008 analiziral računalnik, ki je pripadal raziskovalnemu inštitutu na Bližnjem vzhodu. Odkril je, da se komponenta Fanny uporablja za napad neznanih ranljivosti z dvema ničletnima izkoriščenjima, za obe pa je bilo kasneje ugotovljeno, da sta kodirana v Stuxnet.

Kljub tako močni digitalni podobnosti komponent Stuxneta, tiskovni predstavnik NSA ne bi potrdil vpletenosti ZDA v Equation, češ da je agencija seznanjena s poročilom, vendar ni želela razpravljati o njem ali mu posredovati nobenega komentarja..

Prikazana slika: Ian Bunyan / Public Domain Pictures.net

Equation Group, trdi diski in Death Star zlonamerne programske opreme
admin Author
Sorry! The Author has not filled his profile.