De Equation Group, harde schijven en de Death Star van malware

[ware_item id=33][/ware_item]

De Equation Group, harde schijven en de Death Star van malware


Onderzoekers van Kaspersky Lab hebben een nieuwe toolset voor cyberspionage ontdekt die meer dan een gelijkenis vertoont met soortgelijke kits die door Amerikaanse inlichtingendiensten worden gebruikt.

In een rapport van afgelopen maandag heeft de in Moskou gevestigde beveiligingsfirma gedetailleerd beschreven welke aanvalshulpmiddelen zijn gemaakt door de "Equation Group".

De hackergroep, zegt Kaspersky, heeft met succes duizenden overheidsinstanties geïnfiltreerd met wat het beschrijft als de "Death Star" van malware.

De lange lijst met slachtoffers omvat militaire instanties, overheids- en diplomatieke instellingen, islamitische leiders en duizenden bedrijven in de ruimtevaart-, financiële, media-, energie- en technische industrie.

Analyse van de commando- en controle-infrastructuur van de Equation-groep onthulde hoe wijd verspreid deze is geworden, met ongeveer 300 domeinen en meer dan 100 servers in de VS, het VK, Italië, Duitsland, Panama, Costa Rica, Maleisië, Colombia, Tsjechië en vele anderen.

Kaspersky beschreef een verzameling tools die door Equation worden gebruikt en noemde ze als:

  • EQUATIONDRUG - Een zeer complex aanvalsplatform dat door de groep wordt gebruikt voor zijn slachtoffers. Het ondersteunt een module-plug-insysteem, dat dynamisch kan worden geüpload en door de aanvallers kan worden verwijderd.
  • DOUBLEFANTASY - Een Trojan-achtige Trojan, ontworpen om te bevestigen dat het doelwit de beoogde is. Als het doel wordt bevestigd, krijgen ze een upgrade naar een meer geavanceerd platform zoals EQUATIONDRUG of GRAYFISH.
  • EQUESTRE - Hetzelfde als EQUATIONDRUG.
  • TRIPLEFANTASY - Volledig functionele achterdeur die soms in combinatie met wordt gebruikt GRAYFISH. Ziet eruit als een upgrade van DOUBLEFANTASY en is mogelijk een recentere plug-in in validatorstijl.
  • GRAYFISH - Het meest geavanceerde aanvalsplatform van de EQUATION Group. Het bevindt zich volledig in het register en vertrouwt op een bootkit om uitvoering te krijgen bij het opstarten van het besturingssysteem.
  • FANNY - Een computerworm gemaakt in 2008 en gebruikt om informatie te verzamelen over doelen in het Midden-Oosten en Azië. Sommige slachtoffers lijken eerst te zijn opgewaardeerd naar DoubleFantasy en vervolgens naar het EQUATIONDRUG-systeem.
    Fanny gebruikte exploits voor twee zero-day kwetsbaarheden die later werden ontdekt met Stuxnet.
  • EQUATIONLASER - Een vroeg implantaat van de EQUATION-groep, gebruikt rond 2001-2004. Compatibel met Windows 95/98, en ergens gemaakt tussen DOUBLEFANTASY en EQUATIONDRUG.

Kaspersky-onderzoekers waarschuwden ook dat het onwaarschijnlijk is dat de lijst met tools uitputtend zou zijn, wat suggereert dat Equation nog meer verrassingen kan hebben.

Zorgwekkend, sommige van de door Kaspersky ontdekte tools hebben overeenkomsten met oude favorieten, waaronder de Flame-malware en Stuxnet, die zich richtten op Iraanse nucleaire reactoren onder leiding van de Amerikaanse president Barack Obama.

De vergelijkingstools werden ontdekt op "tientallen populaire HDD-merken" en volgens Costin Raiu, directeur van het wereldwijde onderzoeks- en analyseteam van Kaspersky Lab, konden ze zowel onopgemerkt als onherstelbaar blijven - de malware infecteerde de firmware op schijven, waardoor "Herrijzen" zelf, zelfs nadat een schijf opnieuw werd geformatteerd of het besturingssysteem opnieuw werd geïnstalleerd.

Raiu legde uit:

“Zodra de harde schijf besmet raakt met deze kwaadaardige lading, is het onmogelijk om de firmware ervan te scannen. Simpel gezegd: voor de meeste harde schijven zijn er functies om in het hardware / firmware gebied te schrijven, maar er zijn geen functies om het terug te lezen.

Het betekent dat we praktisch blind zijn en geen harde schijven kunnen detecteren die door deze malware zijn geïnfecteerd. "

Met behulp van de Grayfish-tool creëert Equation ook een verborgen en permanent gebied op een harde schijf dat vervolgens wordt gebruikt om gestolen gegevens op te slaan die op een later tijdstip door de aanvallers kunnen worden verzameld en worden gebruikt voor het verbreken van coderingsprotocollen. Raiu legde uit hoe Grayfish tijdens het opstarten wordt uitgevoerd, waardoor het vastleggen van gecodeerde wachtwoorden relatief eenvoudig is.

Netwerktoegang tot machines is niet eens een essentiële voorwaarde om Vergelijking op een schijf te krijgen - Raiu legde uit dat de Fanny-component van bijzonder belang was omdat deze de mogelijkheid had om airgap-verdedigingen te omzeilen en kon worden gepropageerd via een "uniek USB-gebaseerd commando en bedieningsmechanisme ', met behulp van USB-sticks met een verborgen partitie die kunnen worden gebruikt om systeemgegevens van een systeem te verzamelen wanneer deze zijn geïnstalleerd en geactiveerd.

Wanneer de USB-stick later wordt aangesloten op een systeem met internetverbinding, stuurt het de opgeslagen gegevens door naar de opdracht- en besturingsservers.

Kaspersky volgde de Equation-groep na analyse van een computer van een onderzoeksinstituut uit het Midden-Oosten in 2008. Het ontdekte de Fanny-component die werd gebruikt om onbekende kwetsbaarheden aan te vallen met twee zero-day exploits, die beide later werden ontdekt als gecodeerd in Stuxnet.

Ondanks zo'n sterke digitale gelijkenis met componenten van Stuxnet, zou een woordvoerder van de NSA de betrokkenheid van de VS bij Equation niet bevestigen, omdat het bureau op de hoogte was van het rapport, maar niet bereid was om er commentaar op te geven of er commentaar op te geven.

Uitgelichte afbeelding: Ian Bunyan / Public Domain Pictures.net

De Equation Group, harde schijven en de Death Star van malware
admin Author
Sorry! The Author has not filled his profile.