Grupul de ecuații, hard disk-urile și Steaua de moarte a programelor malware
Cercetătorii de la Kaspersky Lab au descoperit un nou set de instrumente de spionaj cibernetic care are mai mult decât o asemănare trecătoare cu kiturile similare utilizate de agențiile de informații americane.
Într-un raport publicat luni, firma de securitate din Moscova a detaliat instrumentele de atac despre care a spus că au fost create de „Grupul de ecuații”.
Grupul de hackeri, spune Kaspersky, a infiltrat cu succes mii de agenții guvernamentale cu ceea ce descrie drept „Steaua morții” a programelor malware.
Lista lungă de victime include corpuri militare, instituții guvernamentale și diplomatice, lideri islamici și mii de firme din întreaga industrie aerospațială, finanțe, mass-media, energie și tehnologie..
Analiza infrastructurii de comandă și control a grupului de ecuații a relevat cât de răspândită a devenit, cu aproximativ 300 de domenii, precum și peste 100 de servere situate în SUA, Marea Britanie, Italia, Germania, Panama, Costa Rica, Malaezia, Columbia, Republica Cehă și multe altele.
Kaspersky a descris o colecție de instrumente utilizate de ecuație, numindu-le drept:
- EQUATIONDRUG – O platformă de atac foarte complexă folosită de grup asupra victimelor sale. Acesta acceptă un sistem de module de module, care poate fi încărcat și descărcat dinamic de atacatori.
- DOUBLEFANTASY – Un troian în stil validator, conceput pentru a confirma ținta este cel destinat. Dacă obiectivul este confirmat, acestea vor fi actualizate la o platformă mai sofisticată precum EQUATIONDRUG sau GRAYFISH.
- EQUESTRE – La fel ca EQUATIONDRUG.
- TRIPLEFANTASY – Backdoor cu caracteristici complete, uneori utilizate în tandem cu GRAYFISH. Arată ca o actualizare a DOUBLEFANTASY și este posibil un plugin mai recent în stil validator.
- GRAYFISH – Cea mai sofisticată platformă de atac a grupului EQUATION. Acesta se află complet în registru, bazându-se pe un bootkit pentru a obține execuția la pornirea sistemului de operare.
- FANNY – Un vierme computer creat în 2008 și folosit pentru a strânge informații despre ținte din Orientul Mijlociu și Asia. Unele victime par să fi fost actualizate mai întâi la DoubleFantasy, apoi la sistemul EQUATIONDRUG.
Fanny a folosit exploatări pentru două vulnerabilități din ziua zero, care au fost descoperite ulterior cu Stuxnet. - EQUATIONLASER – Un implant timpuriu al grupului EQUATION, utilizat în jurul anului 2001-2004. Compatibil cu Windows 95/98 și creat cândva între DOUBLEFANTASY și EQUATIONDRUG.
Cercetătorii Kaspersky au avertizat, de asemenea, că lista instrumentelor este puțin probabil să fie exhaustivă, ceea ce sugerează că ecuația ar putea avea încă mai multe surprize pentru primăvară.
În mod îngrijorător, unele dintre instrumentele descoperite de Kaspersky au asemănări cu preferatele vechi, inclusiv malware-ul Flame și Stuxnet, care au vizat reactoarele nucleare iraniene sub conducerea președintelui american Barack Obama.
Instrumentele de ecuație au fost descoperite pe „zeci de mărci HDD populare” și, potrivit lui Costin Raiu, directorul echipei globale de cercetare și analiză Kaspersky Lab, au putut să rămână nedetectate și iremediabile – malware-ul a infectat firmware-ul pe unități, permițându-i să „Reînvierea” în sine, chiar și după ce o unitate a fost reformată sau instalarea sistemului de operare.
Raiu a explicat:
„Odată ce hard disk-ul se infectează cu această sarcină utilă dăunătoare, este imposibil să scanezi firmware-ul. Mai bine spus: pentru majoritatea hard disk-urilor există funcții de scris în zona hardware / firmware, dar nu există funcții care să le citească înapoi.
Înseamnă că suntem practic orbi și nu putem detecta hard disk-uri care au fost infectate de acest malware. “
Folosind instrumentul Grayfish, Equation creează, de asemenea, o zonă ascunsă și persistentă pe un hard disk, care este apoi utilizată pentru a salva datele furate, care pot fi colectate ulterior de atacatori și utilizate pentru încălcarea protocoalelor de criptare. Raiu a explicat cum rulează Grayfish la pornire, făcând capturarea parolelor criptate să devină o briză relativă.
Accesul la rețea la mașini nu este chiar o condiție esențială pentru a obține ecuația pe o unitate – Raiu a explicat că componenta Fanny avea un interes deosebit, deoarece avea capacitatea de a ocoli apărările airgap și putea fi propagată printr-o „comandă unică bazată pe USB și mecanism de control ”, folosind stick-uri USB cu o partiție ascunsă, care ar putea fi folosite pentru a colecta date de sistem dintr-un sistem atunci când sunt instalate și activate.
Când stick-ul USB este conectat ulterior la un sistem cu conectivitate la internet, acesta va trimite datele stocate către serverele sale de comandă și control.
Kaspersky a început să urmărească grupul de ecuații după ce a analizat un computer aparținând unui institut de cercetare din Orientul Mijlociu în 2008. A descoperit componenta Fanny fiind utilizată pentru a ataca vulnerabilități necunoscute cu două exploatări de zi zero, ambele fiind descoperite ulterior ca fiind codificate în Stuxnet.
În ciuda unei asemănări digitale atât de puternice cu componentele Stuxnet, un purtător de cuvânt al ANS nu va confirma implicarea SUA în ecuație, spunând că agenția era conștientă de raport, dar nu voia să discute sau să transmită niciun comentariu..
Imagine prezentată: Ian Bunyan / Public Domain Pictures.net
17.04.2023 @ 18:50
u, directorul echipei globale de cercetare și analiză Kaspersky Lab, a subliniat importanța protejării împotriva acestor instrumente de spionaj cibernetic, care pot avea consecințe grave asupra securității naționale și a afacerilor. Este important ca utilizatorii să ia măsuri de securitate adecvate, cum ar fi actualizarea regulată a software-ului și a sistemelor de operare, utilizarea unor soluții de securitate puternice și evitarea descărcării de software din surse nesigure. De asemenea, este important ca guvernele și companiile să investească în securitatea cibernetică și să colaboreze cu firmele de securitate pentru a identifica și contracara amenințările cibernetice.