Equation Group, tvrdi diskovi i zlonamjerni softver Death Star

Equation Group, tvrdi diskovi i zlonamjerni softver Death Star

Istraživači iz laboratorija Kaspersky otkrili su novi alat za cyber-špijunažu koji ima više nego slične slične slične setove koje koriste američke obavještajne agencije.

U izvješću objavljenom prošlog ponedjeljka, moskovska zaštitarska tvrtka detaljno je opisala oruđe za napad za koje kaže da ih je stvorila "Equation Group".

Hakerska skupina, kaže Kaspersky, uspješno se infiltrirala na tisuće vladinih agencija s onim što opisuje kao "Zvijezda smrti" zlonamjernog softvera.

Dugi popis žrtava uključuje vojna tijela, vladine i diplomatske institucije, islamske vođe i tisuće tvrtki iz svemirske, finansijske, medijske, energetske i tehnološke industrije.

Analiza zapovjedne i upravljačke infrastrukture Equation grupe otkrila je kako je široko rasprostranjena i sadrži oko 300 domena kao i preko 100 poslužitelja smještenih u SAD-u, Velikoj Britaniji, Italiji, Njemačkoj, Panami, Kostariki, Maleziji, Kolumbiji, Češkoj i mnogi drugi.

Kaspersky je opisao kolekciju alata koje koristi Equation, imenovavši ih kao:

  • EQUATIONDRUG - Vrlo složena platforma napada koju grupa koristi na svojim žrtvama. Podržava modulski sustav dodataka, koji napadači mogu dinamički učitavati i učitavati.
  • DOUBLEFANTASY - Predviđeni trojanski stil dizajniran za potvrđivanje cilja je onaj koji planira. Ako je cilj potvrđen, nadogradit će se na sofisticiraniju platformu poput EQUATIONDRUG ili GRAYFISH.
  • EQUESTRE - Isto kao i EQUATIONDRUG.
  • TRIPLEFANTASY - Potpuno opremljena stražnja strana koja se ponekad koristi u tandemu sa GRAYFISH. Izgleda nadogradnju DOUBLEFANTASY i moguće je novijeg dodataka u stilu validatora.
  • GRAYFISH - Najsofisticiranija napadačka platforma iz grupe EQUATION. U potpunosti se nalazi u registru, oslanjajući se na bootkit za izvršenje prilikom pokretanja OS-a.
  • peder - Računalni crv stvoren 2008. i korišten za prikupljanje informacija o ciljevima na Bliskom Istoku i Aziji. Čini se da su neke žrtve pregrađene prvo na DoubleFantasy, a potom na sustav EQUATIONDRUG.
    Fanny je koristio podvige za dvije ranjivosti od nula dana koje su kasnije otkrivene pomoću Stuxneta.
  • EQUATIONLASER - Rani implantat iz grupe EQUATION, korišten oko2001-2004. Kompatibilan je sa sustavom Windows 95/98 i kreiran je negdje između DOUBLEFANTASY i EQUATIONDRUG.

Kaspersky istraživači također su upozorili da popis alata vjerojatno neće biti iscrpan, sugerirajući da jednadžba na proljeće može imati još iznenađenja.

Zabrinjavajuće je što neki alati koje je Kaspersky otkrio imaju sličnosti sa starim favoritima, uključujući zlonamjerni softver Plamen i Stuxnet koji su ciljali iranske nuklearne reaktore pod vodstvom američkog predsjednika Baracka Obame.

Alati za jednadžbe otkriveni su na „desecima popularnih HDD marki“, a prema Costin Raiu, direktoru globalnog tima za istraživanje i analizu Kaspersky Lab-a, mogli su ostati neotkriveni i nepopravljivi - malware je zarazio firmver na diskovima, omogućavajući mu da "Uskrsnuo", čak i nakon što je pogon ponovno formatiran ili je operativni sustav ponovo instaliran.

Raiu je objasnio:

"Jednom kada se tvrdi disk zarazi ovim zlonamjernim korisnim opterećenjem, nemoguće je skenirati njegov softver. Jednostavnije rečeno: za većinu tvrdih diskova postoje funkcije za pisanje u područje hardvera / firmvera, ali nema funkcija za ponovno čitanje.

To znači da smo praktički slijepi i ne možemo otkriti tvrde diskove koji su zaraženi ovim malwareom. "

Korištenjem alata Grayfish, Equation također stvara skriveno i postojano područje na tvrdom disku koje se zatim koristi za spremanje ukradenih podataka koje napadači mogu naknadno prikupiti i koriste za razbijanje protokola šifriranja. Raiu je objasnio kako siva riba radi pri pokretanju, čineći hvatanje šifriranih lozinki relativnim povjetarcem.

Mrežni pristup strojevima nije ni bitan preduvjet za dobivanje jednadžbe na pogonu - Raiu je objasnio da je komponenta Fanny bila od posebnog interesa jer je imala mogućnost zaobići airgap obranu i može se širiti pomoću "jedinstvene naredbe utemeljene na USB-u i upravljački mehanizam ", koristeći USB štapove sa skrivenom particijom koji se mogu koristiti za prikupljanje podataka o sustavu iz sustava kad su instalirani i aktivirani.

Kad se USB stick kasnije uključi u sustav s internetskim povezivanjem, proslijedit će pohranjene podatke na njegove naredbe i upravljačke poslužitelje.

Kaspersky je počeo pratiti Equation grupu nakon analize računala koje je pripadalo istraživačkom institutu Bliskog Istoka 2008. Otkrio je da se Fanny komponenta koristi za napad na nepoznate ranjivosti s dva nula dana, za koje je kasnije otkriveno da su kodirane u Stuxnet.

Unatoč tako snažnoj digitalnoj sličnosti s komponentama Stuxneta, glasnogovornik NSA-e ne bi potvrdio američku uključenost u jednadžbu, rekavši da je agencija upoznata s izvješćem, ali da nije bila voljna raspravljati ili prenositi bilo kakav komentar na njega.

Izdvojena slika: Ian Bunyan / Public Domain Pictures.net

Equation Group, tvrdi diskovi i zlonamjerni softver Death Star
admin Author
Sorry! The Author has not filled his profile.