The Equation Group, ฮาร์ดไดรฟ์และ Death Star ของมัลแวร์

The Equation Group, ฮาร์ดไดรฟ์และ Death Star ของมัลแวร์

นักวิจัยที่ Kaspersky Lab ได้ค้นพบชุดเครื่องมือจารกรรมทางไซเบอร์ใหม่ที่มีความคล้ายคลึงมากกว่าชุดที่คล้ายกันที่ผ่านการใช้งานโดยหน่วยข่าวกรองสหรัฐ.

ในรายงานที่เผยแพร่เมื่อวันจันทร์ที่ผ่านมา บริษัท รักษาความปลอดภัยในกรุงมอสโกได้ให้รายละเอียดเกี่ยวกับเครื่องมือโจมตีที่สร้างขึ้นโดย“ Equation Group”.

Kaspersky กลุ่มแฮกเกอร์กล่าวว่าประสบความสำเร็จในการแทรกซึมหน่วยงานรัฐบาลหลายพันแห่งด้วยสิ่งที่อธิบายว่าเป็น "Death Star" ของมัลแวร์.

รายชื่อผู้ที่ตกเป็นเหยื่อรวมถึงหน่วยงานทางทหารรัฐบาลและสถาบันการทูตผู้นำอิสลามและ บริษัท หลายพันแห่งในอุตสาหกรรมอากาศยานการเงินสื่อพลังงานและเทคโนโลยี.

การวิเคราะห์คำสั่งและโครงสร้างพื้นฐานการควบคุมของกลุ่มสมการเผยให้เห็นว่ามันแพร่กระจายอย่างกว้างขวางโดยมีโดเมนกว่า 300 แห่งรวมถึงเซิร์ฟเวอร์กว่า 100 แห่งในสหรัฐอเมริกาสหราชอาณาจักรอิตาลีเยอรมนีปานามาคอสตาริกามาเลเซียโคลัมเบียสาธารณรัฐเช็ก และอื่น ๆ อีกมากมาย.

Kaspersky อธิบายชุดเครื่องมือที่ใช้โดย Equation ตั้งชื่อเป็น:

  • EQUATIONDRUG - แพลตฟอร์มการโจมตีที่ซับซ้อนมากซึ่งกลุ่มผู้ใช้ตกเป็นเหยื่อ สนับสนุนระบบปลั๊กอินโมดูลซึ่งสามารถอัปโหลดและยกเลิกการโหลดโดยผู้โจมตี.
  • DOUBLEFANTASY - โทรจันแบบผู้ตรวจสอบความถูกต้องที่ออกแบบมาเพื่อยืนยันเป้าหมายคือเป้าหมาย หากเป้าหมายได้รับการยืนยันพวกเขาจะได้รับการอัพเกรดเป็นแพลตฟอร์มที่มีความซับซ้อนมากขึ้นเช่น EQUATIONDRUG หรือ GREYFISH.
  • Equestre - เช่นเดียวกับ EQUATIONDRUG.
  • TRIPLEFANTASY - แบ็คดอร์ที่มีคุณสมบัติครบถ้วนบางครั้งใช้ควบคู่กับ GRAYFISH. ดูเหมือนว่าจะมีการอัปเกรด DOUBLEFANTASY และอาจเป็นปลั๊กอินแบบตัวตรวจสอบความถูกต้องล่าสุด.
  • GRAYFISH - แพลตฟอร์มการโจมตีที่ทันสมัยที่สุดจากกลุ่ม EQUATION มันอยู่ในรีจิสทรีอย่างสมบูรณ์โดยอาศัย bootkit เพื่อรับการประมวลผลเมื่อเริ่มต้นระบบปฏิบัติการ.
  • FANNY - หนอนคอมพิวเตอร์ที่สร้างขึ้นในปี 2551 และใช้เพื่อรวบรวมข้อมูลเกี่ยวกับเป้าหมายในตะวันออกกลางและเอเชีย ผู้ที่ตกเป็นเหยื่อบางรายดูเหมือนจะได้รับการอัพเกรดเป็น DoubleFantasy ก่อนและจากนั้นเป็นระบบ EQUATIONDRUG.
    Fanny ใช้การหาช่องโหว่สำหรับช่องโหว่ zero-day สองช่องโหว่ซึ่งต่อมาถูกค้นพบด้วย Stuxnet.
  • EQUATIONLASER - การสอดใส่ แต่เนิ่นๆจากกลุ่ม EQUATION ใช้รอบปี พ.ศ. 2544-2547 เข้ากันได้กับ Windows 95/98 และสร้างบางครั้งระหว่าง DOUBLEFANTASY และ EQUATIONDRUG.

นักวิจัยของแคสเปอร์สกี้ยังเตือนว่ารายการเครื่องมือไม่น่าจะหมดแรงแนะนำว่าสมการยังคงมีความประหลาดใจมากกว่าในฤดูใบไม้ผลิ.

เครื่องมือบางอย่างที่ค้นพบโดย Kaspersky มีความคล้ายคลึงกับรายการโปรดเก่า ๆ เช่น Flame Malware และ Stuxnet ซึ่งตั้งเป้าไปที่เครื่องปฏิกรณ์นิวเคลียร์อิหร่านภายใต้การดูแลของประธานาธิบดีสหรัฐ Barack Obama.

เครื่องมือ Equation ถูกค้นพบใน“ แบรนด์ HDD ที่ได้รับความนิยมมากมาย” และตามที่ Costin Raiu ผู้อำนวยการทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky Lab สามารถรักษาได้ทั้งตรวจจับและลบไม่ได้ - มัลแวร์ที่ติดไวรัสเฟิร์มแวร์ “ คืนชีพ” ตัวเองแม้หลังจากฟอร์แมตไดรฟ์หรือติดตั้งระบบปฏิบัติการใหม่.

Raiu อธิบาย:

“ เมื่อฮาร์ดไดรฟ์ได้รับเชื้อที่เป็นอันตรายนี้จะไม่สามารถสแกนเฟิร์มแวร์ได้ เพื่อให้ง่าย: สำหรับฮาร์ดไดรฟ์ส่วนใหญ่มีฟังก์ชั่นการเขียนลงในพื้นที่ฮาร์ดแวร์ / เฟิร์มแวร์ แต่ไม่มีฟังก์ชั่นที่จะอ่านกลับ.

หมายความว่าเราตาบอดจริงๆและไม่สามารถตรวจจับฮาร์ดไดรฟ์ที่ติดมัลแวร์นี้ได้”

การใช้เครื่องมือ Grayfish สมการนี้ยังสร้างพื้นที่ที่ซ่อนอยู่และถาวรบนฮาร์ดไดรฟ์ซึ่งจะใช้ในการบันทึกข้อมูลที่ถูกขโมยซึ่งสามารถรวบรวมได้ในภายหลังโดยผู้โจมตีและใช้สำหรับการทำลายโปรโตคอลการเข้ารหัส Raiu อธิบายว่าเกรย์ฟิชทำงานอย่างไรตอนบูตเครื่องทำให้การจับรหัสผ่านที่เข้ารหัสเป็นเรื่องง่าย.

การเข้าถึงเครือข่ายไปยังเครื่องไม่ได้เป็นข้อกำหนดเบื้องต้นที่จำเป็นในการรับสมการต่อไดรฟ์ - Raiu อธิบายว่าส่วนประกอบ Fanny นั้นเป็นที่สนใจเป็นพิเศษเพราะมันมีความสามารถในการข้ามการป้องกันของ airgap และสามารถเผยแพร่ผ่านคำสั่ง กลไกการควบคุม” การใช้ USB sticks กับพาร์ติชันที่ซ่อนอยู่ซึ่งสามารถใช้เพื่อรวบรวมข้อมูลระบบจากระบบเมื่อติดตั้งและเปิดใช้งาน.

เมื่อต่อ USB Stick เข้ากับระบบที่มีการเชื่อมต่ออินเทอร์เน็ตมันจะส่งต่อข้อมูลที่เก็บไว้ไปยังเซิร์ฟเวอร์คำสั่งและเซิร์ฟเวอร์ควบคุม.

Kaspersky เริ่มติดตามกลุ่ม Equation หลังจากทำการวิเคราะห์คอมพิวเตอร์ที่เป็นของสถาบันวิจัยตะวันออกกลางในปี 2008 พบว่าส่วนประกอบของ Fanny ถูกใช้เพื่อโจมตีช่องโหว่ที่ไม่รู้จักด้วยการหาช่องโหว่ที่ไม่รู้จักสองวัน.

แม้จะมีภาพดิจิตอลที่แข็งแกร่งต่อส่วนประกอบของ Stuxnet แต่โฆษกของ NSA จะไม่ยืนยันการมีส่วนร่วมของสหรัฐในสมการกล่าวว่าหน่วยงานตระหนักถึงรายงาน แต่ไม่เต็มใจที่จะหารือหรือส่งความคิดเห็นใด ๆ.

ภาพเด่น: Ian Bunyan / Public.net Pictures.net

The Equation Group, ฮาร์ดไดรฟ์และ Death Star ของมัลแวร์
admin Author
Sorry! The Author has not filled his profile.