Skupina rovníc, pevné disky a Death Star malware

Skupina rovníc, pevné disky a Death Star malware

Vedci spoločnosti Kaspersky Lab objavili nový súbor nástrojov pre počítačovú špionáž, ktorý má viac ako len podobnú podobnosť s podobnými súpravami, ktoré používajú americké spravodajské agentúry..

V správe zverejnenej minulé pondelok bezpečnostná spoločnosť so sídlom v Moskve podrobne opísala útočné nástroje, ktoré podľa nej vytvorili skupina „Equation Group“..

Skupina hackerov, hovorí Kaspersky, úspešne infiltrovala tisíce vládnych agentúr tým, čo označuje ako „Hviezdu smrti“ škodlivého softvéru..

Dlhý zoznam obetí zahŕňa vojenské orgány, vládne a diplomatické inštitúcie, islamských vodcov a tisíce firiem v leteckom, finančnom, mediálnom, energetickom a technologickom priemysle..

Analýza veliteľskej a kontrolnej infraštruktúry skupiny Equation odhalila, ako sa rozšírila, pričom zahŕňa okolo 300 domén a viac ako 100 serverov umiestnených v USA, Veľkej Británii, Taliansku, Nemecku, Paname, Kostarike, Malajzii, Kolumbii, Českej republike. a veľa ďalších.

Kaspersky opísal súbor nástrojov, ktoré používa rovnica, a pomenoval ich takto:

  • EQUATIONDRUG - Veľmi zložitá útočná platforma, ktorú skupina používa pri svojich obetiach. Podporuje systém zásuvných modulov, ktorý môžu útočníci dynamicky vkladať a vykladať.
  • DOUBLEFANTASY - Trójsky kôň validátora, ktorý je určený na potvrdenie cieľa, je určený. Ak bude cieľ potvrdený, inovujú sa na prepracovanejšiu platformu, ako je EQUATIONDRUG alebo GRAYFISH..
  • equestre - Rovnaké ako EQUATIONDRUG.
  • TRIPLEFANTASY - Plnohodnotné zadné vrátka, ktoré sa niekedy používajú spolu s GRAYFISH. Vyzerá to, že ide o aktualizáciu DOUBLEFANTASY a je to pravdepodobne novší doplnok v štýle validátora.
  • GRAYFISH - Najnáročnejšia útočná platforma zo skupiny EQUATION. Nachádza sa úplne v registri a spolieha sa na bootkit, aby získal spustenie pri štarte OS.
  • FANNY - Počítačový červ vytvorený v roku 2008 a používaný na zhromažďovanie informácií o cieľoch na Blízkom východe av Ázii. Zdá sa, že niektoré obete boli najprv upgradované na DoubleFantasy a potom na systém EQUATIONDRUG.
    Fanny využil zneužitia na dve slabé miesta v nultom dni, ktoré boli neskôr objavené so Stuxnetom.
  • EQUATIONLASER - Skorý implantát zo skupiny EQUATION, ktorý sa používa približne v rokoch 2001 - 2004. Kompatibilný so systémom Windows 95/98 a vytvorený niekedy medzi DOUBLEFANTASY a EQUATIONDRUG.

Vedci spoločnosti Kaspersky tiež varovali, že zoznam nástrojov pravdepodobne nebude úplný, čo naznačuje, že rovnica môže mať na jar stále viac prekvapení..

Je znepokojujúce, že niektoré nástroje objavené spoločnosťou Kaspersky majú podobnosť so starými obľúbenými, vrátane škodlivého softvéru Flame a Stuxnet, ktoré cielili iránske jadrové reaktory pod vedením amerického prezidenta Baracka Obamu..

Nástroje rovnice boli objavené na „desiatkach populárnych značiek HDD“ a podľa Costina Raiu, riaditeľa globálneho výskumného a analytického tímu spoločnosti Kaspersky Lab, dokázal zostať nezistený a neodstrániteľný - malware infikoval firmvér na jednotkách, čo mu umožnilo „Opraviť“ sám, dokonca aj po preformátovaní jednotky alebo preinštalovaní operačného systému.

Raiu vysvetlil:

„Akonáhle sa pevný disk nakazí týmto škodlivým užitočným zaťažením, nie je možné skontrolovať jeho firmvér. Zjednodušene povedané: pre väčšinu pevných diskov existujú funkcie na zapisovanie do oblasti hardvéru / firmvéru, ale neexistujú žiadne funkcie, ktoré by si ich mohli prečítať späť..

To znamená, že sme prakticky slepí a nedokážeme zistiť pevné disky, ktoré boli napadnuté týmto škodlivým softvérom. “

Pomocou nástroja Greyfish vytvára rovnica tiež skrytú a trvalú oblasť na pevnom disku, ktorá sa potom používa na ukladanie ukradnutých údajov, ktoré môžu útočníci zhromaždiť neskôr a ktoré sa používajú na porušenie šifrovacích protokolov. Raiu vysvetlil, ako Grayfish beží pri štarte, takže zachytávanie šifrovaných hesiel je relatívny vánok.

Sieťový prístup k počítačom nie je ani nevyhnutným predpokladom na to, aby sa rovnica dostala na disk - Raiu vysvetlil, že komponent Fanny bol obzvlášť zaujímavý, pretože mal schopnosť obísť obranu airgap a mohol sa šíriť prostredníctvom „jedinečného príkazu založeného na USB a ovládací mechanizmus, “pomocou USB kľúčov so skrytou diskovou oblasťou, ktorá by sa mohla použiť na zhromažďovanie systémových údajov zo systému po nainštalovaní a aktivácii.

Keď sa USB kľúč neskôr pripojí k systému s pripojením na internet, uložené údaje odošle na riadiace a riadiace servery.

Spoločnosť Kaspersky začala v roku 2008 analyzovať počítač patriaci do výskumného ústavu na Blízkom východe. Spoločnosť Kaspersky zistila, že komponent Fanny sa používa na útok na neznáme zraniteľné miesta..

Napriek tak silnej digitálnej podobnosti s komponentmi Stuxnetu by hovorca NSA nepotvrdil zapojenie USA do rovnice s tým, že agentúra si bola vedomá správy, ale bola ochotná o nej diskutovať alebo predložiť akýkoľvek komentár..

Hlavná fotografia: Ian Bunyan / Public Domain Pictures.net

Skupina rovníc, pevné disky a Death Star malware
admin Author
Sorry! The Author has not filled his profile.