수식 그룹, 하드 드라이브 및 맬웨어의 죽음의 별

수식 그룹, 하드 드라이브 및 맬웨어의 죽음의 별

카스퍼 스키 랩의 연구원들은 미국 정보 기관이 사용하는 유사한 키트와 유사한 유사성을 보유한 새로운 사이버 스파이 도구 세트를 발견했습니다..

지난 월요일에 발표 된 보고서에서 모스크바에 위치한 보안 회사는“방정식 그룹”에 의해 만들어진 공격 도구에 대해 자세히 설명했습니다..

카스퍼 스키에 따르면 해커 그룹은 수천 개의 정부 기관에 악성 코드의“데스 데스”라고 묘사 한 정보를 성공적으로 침투했습니다..

피해자의 긴 목록에는 군사 기관, 정부 및 외교 기관, 이슬람 지도자 및 항공 우주, 금융, 미디어, 에너지 및 기술 산업에 걸친 수천 개의 회사가 포함됩니다..

Equation 그룹의 명령 및 제어 인프라 분석에 따르면 미국, 영국, 이탈리아, 독일, 파나마, 코스타리카, 말레이시아, 콜롬비아, 체코에 위치한 약 300여 개의 도메인과 300 개의 도메인을 포함하여 얼마나 널리 퍼져 있는지가 밝혀졌습니다. 그리고 많은 다른 사람들.

카스퍼 스키는 Equation에서 사용하는 도구 모음을 다음과 같이 명명했습니다.

  • 적도 – 피해자가 그룹에서 사용하는 매우 복잡한 공격 플랫폼. 공격자가 동적으로 업로드 및 언로드 할 수있는 모듈 플러그인 시스템을 지원합니다..
  • 이중 판타지 – 대상이 의도 된 것인지 확인하도록 설계된 검사기 스타일의 트로이 목마. 대상이 확인되면 EQUATIONDRUG 또는 GRAYFISH와 같은보다 정교한 플랫폼으로 업그레이드됩니다..
  • 일화 – EQUATIONDRUG와 동일.
  • 트리플 판타지 – 때로는 모든 기능을 갖춘 백도어와 함께 사용 그레이 피쉬. DOUBLEFANTASY의 업그레이드처럼 보이며 아마도 최신 유효성 검사기 스타일 플러그인 일 수 있습니다..
  • 그레이 피쉬 – EQUATION Group의 가장 정교한 공격 플랫폼. OS 시작시 실행을 위해 부트 킷에 의존하여 레지스트리에 완전히 상주합니다..
  • 엉덩이 – 2008 년에 생성되어 중동 및 아시아의 대상에 대한 정보를 수집하는 데 사용되는 컴퓨터 웜. 일부 희생자는 먼저 DoubleFantasy로 업그레이드 된 다음 EQUATIONDRUG 시스템으로 업그레이드 된 것으로 보입니다..
    Fanny는 나중에 Stuxnet에서 발견 된 2 개의 제로 데이 취약점에 대한 익스플로잇을 사용했습니다..
  • 적도 레이저 – 2001-2004 년경 EQUATION 그룹의 초기 임플란트. Windows 95/98과 호환되며 DOUBLEFANTASY와 EQUATIONDRUG간에 언젠가 생성되었습니다..

카스퍼 스키 연구원은 또한 도구 목록이 철저하지 않을 것이라고 경고했다..

걱정스럽게도 카스퍼 스키가 발견 한 도구 중 일부는 Barack Obama 미국 대통령의 지시에 따라이란의 원자로를 목표로 한 Flame 악성 코드 및 Stuxnet을 포함한 오래된 즐겨 찾기와 유사합니다..

카스퍼 스키 랩의 글로벌 리서치 및 분석 팀 책임자 인 Costin Raiu에 따르면이 방정식 도구는“수십 개의 인기있는 HDD 브랜드”에서 발견되었으며 탐지 할 수없고 제거 할 수없는 상태로 남아있을 수있었습니다. 맬웨어는 드라이브의 펌웨어에 감염되어 드라이브를 다시 포맷하거나 운영 체제를 다시 설치 한 후에도 "복구"자체.

라이 우는 다음과 같이 설명했다.

“하드 드라이브가이 악성 페이로드에 감염되면 펌웨어를 검색 할 수 없습니다. 간단히 말해서 : 대부분의 하드 드라이브에는 하드웨어 / 펌웨어 영역에 쓸 수있는 기능이 있지만 다시 읽을 수있는 기능은 없습니다.

이는 실제로 실명 상태이며이 멀웨어에 감염된 하드 드라이브를 탐지 할 수 없음을 의미합니다.”

또한 Grayfish 도구를 사용하여 Equation은 하드 드라이브에 숨겨진 영구 영역을 생성 한 후 나중에 공격자가 수집하여 암호화 프로토콜을 손상시키는 데 사용되는 도난 된 데이터를 저장하는 데 사용됩니다. Raiu는 부팅시 Grayfish가 실행되는 방식을 설명하여 암호화 된 비밀번호를 비교적 쉽게 수집 할 수 있도록했습니다..

기계에 대한 네트워크 액세스는 드라이브에 방정식을 적용하기위한 필수 전제 조건은 아닙니다.-Raiu는 Fanny 구성 요소가 에어 갭 방어를 우회 할 수 있고 "고유 한 USB 기반 명령 및 설치 및 활성화시 시스템에서 시스템 데이터를 수집하는 데 사용할 수있는 숨겨진 파티션이있는 USB 스틱 사용.

USB 스틱을 나중에 인터넷에 연결된 시스템에 연결하면 저장된 데이터를 명령 및 제어 서버로 전달합니다..

카스퍼 스키는 2008 년 중동 연구 기관에 속한 컴퓨터를 분석 한 후 방정식 그룹을 추적하기 시작했습니다. Fanny 구성 요소가 제로 데이 익스플로잇 2 개로 알려지지 않은 취약점을 공격하는 데 사용되었다는 사실을 발견했습니다..

NSA의 대변인은 Stuxnet의 구성 요소에 대한 디지털 방식의 강력한 유사성에도 불구하고, 공식에 대한 미국의 개입을 확인하지 않았으며, 해당 기관이 보고서를 알고 있지만 그에 대한 어떠한 의견도 기꺼이 논의하거나 전달하지 않았다.

대표 이미지 : Ian Bunyan / Public Domain Pictures.net

수식 그룹, 하드 드라이브 및 맬웨어의 죽음의 별
admin Author
Sorry! The Author has not filled his profile.