Die Equation Group, Festplatten und der Todesstern der Malware

[ware_item id=33][/ware_item]

Die Equation Group, Festplatten und der Todesstern der Malware


Forscher von Kaspersky Lab haben ein neues Toolset für Cyberspionage entdeckt, das mehr als nur Ähnlichkeiten mit ähnlichen Kits aufweist, die von US-Geheimdiensten verwendet werden.

In einem am vergangenen Montag veröffentlichten Bericht hat die Moskauer Sicherheitsfirma die von der "Equation Group" erstellten Angriffswerkzeuge detailliert beschrieben..

Laut Kaspersky infiltrierte die Hacker-Gruppe erfolgreich Tausende von Regierungsbehörden mit dem sogenannten "Todesstern" von Malware.

Die lange Liste der Opfer umfasst militärische Einrichtungen, Regierungs- und diplomatische Institutionen, islamische Führer und Tausende von Unternehmen aus den Bereichen Luft- und Raumfahrt, Finanzen, Medien, Energie und Technologie.

Eine Analyse der Befehls- und Kontrollinfrastruktur der Equation Group ergab, wie weit verbreitet sie geworden ist. Sie umfasst rund 300 Domänen sowie über 100 Server in den USA, Großbritannien, Italien, Deutschland, Panama, Costa Rica, Malaysia, Kolumbien und der Tschechischen Republik und viele andere.

Kaspersky beschrieb eine Sammlung von Werkzeugen, die von Equation verwendet wurden, und nannte sie:

  • EQUATIONDRUG - Eine sehr komplexe Angriffsplattform, die von der Gruppe für ihre Opfer verwendet wird. Es unterstützt ein Modul-Plugin-System, das von den Angreifern dynamisch hochgeladen und entladen werden kann.
  • DOPPELFANTASIE - Es handelt sich um einen Trojaner im Validator-Stil, mit dem das Ziel bestätigt werden soll. Wenn das Ziel bestätigt wird, werden sie auf eine anspruchsvollere Plattform wie EQUATIONDRUG oder GRAYFISH aktualisiert.
  • EQUESTRE - Wie EQUATIONDRUG.
  • TRIPLEFANTASY - Voll ausgestattete Hintertür, die manchmal zusammen mit verwendet wird GRAUFISCH. Sieht aus wie ein Upgrade von DOUBLEFANTASY und ist möglicherweise ein neueres Plugin im Validator-Stil.
  • GRAUFISCH - Die fortschrittlichste Angriffsplattform der EQUATION Group. Es befindet sich vollständig in der Registrierung und benötigt ein Bootkit, um beim Start des Betriebssystems ausgeführt zu werden.
  • FANNY - Ein 2008 erstellter Computerwurm, mit dem Informationen über Ziele im Nahen Osten und in Asien gesammelt werden. Einige Opfer scheinen zuerst auf DoubleFantasy und dann auf das EQUATIONDRUG-System aktualisiert worden zu sein.
    Fanny nutzte Exploits für zwei Zero-Day-Schwachstellen, die später mit Stuxnet entdeckt wurden.
  • EQUATIONLASER - Ein frühes Implantat aus der Gruppe EQUATION, das zwischen 2001 und 2004 verwendet wurde. Kompatibel mit Windows 95/98 und irgendwann zwischen DOUBLEFANTASY und EQUATIONDRUG erstellt.

Kaspersky-Forscher warnten auch davor, dass die Liste der Tools wahrscheinlich nicht vollständig sei, was darauf hindeutet, dass die Gleichung im Frühjahr möglicherweise noch weitere Überraschungen bereithält.

Besorgniserregend ist, dass einige der von Kaspersky entdeckten Tools Ähnlichkeiten mit alten Favoriten aufweisen, einschließlich der Flame-Malware und Stuxnet, die iranische Atomreaktoren unter der Leitung von US-Präsident Barack Obama zum Ziel hatten.

Die Equation-Tools wurden auf „Dutzenden beliebter Festplattenmarken“ entdeckt und laut Costin Raiu, Direktor des weltweiten Forschungs- und Analyseteams von Kaspersky Lab, konnten sie sowohl unentdeckt als auch unauslöschlich bleiben - die Malware infizierte die Firmware auf den Laufwerken und ermöglichte dies "Wiederbelebung" selbst, selbst nachdem ein Laufwerk neu formatiert oder das Betriebssystem neu installiert wurde.

Raiu erklärte:

„Sobald die Festplatte mit dieser schädlichen Nutzlast infiziert ist, kann die Firmware nicht mehr gescannt werden. Einfach ausgedrückt: Für die meisten Festplatten gibt es Funktionen zum Schreiben in den Hardware- / Firmware-Bereich, aber keine Funktionen zum Zurücklesen.

Das bedeutet, dass wir praktisch blind sind und keine Festplatten erkennen können, die mit dieser Malware infiziert wurden. “

Mit dem Grayfish-Tool erstellt Equation auch einen verborgenen und dauerhaften Bereich auf einer Festplatte, in dem gestohlene Daten gespeichert werden, die zu einem späteren Zeitpunkt von den Angreifern gesammelt und zum Brechen von Verschlüsselungsprotokollen verwendet werden können. Raiu erklärte, wie Grayfish beim Booten ausgeführt wird, und machte die Erfassung verschlüsselter Passwörter zu einem Kinderspiel.

Der Netzwerkzugriff auf Maschinen ist nicht einmal eine wesentliche Voraussetzung für das Aufspielen von Equation auf ein Laufwerk - Raiu erklärte, dass die Fanny-Komponente von besonderem Interesse sei, da sie die Airgap-Abwehr umgehen und über einen „einzigartigen USB-basierten Befehl“ und weitergegeben werden könne Kontrollmechanismus “, bei dem USB-Sticks mit versteckter Partition verwendet werden, um Systemdaten von einem System zu sammeln, wenn es installiert und aktiviert ist.

Wenn der USB-Stick später an ein System mit Internetverbindung angeschlossen wird, leitet er die gespeicherten Daten an seine Befehls- und Steuerungsserver weiter.

Kaspersky begann mit der Analyse eines Computers, der zu einem Forschungsinstitut im Nahen Osten gehörte. Im Jahr 2008 entdeckte Kaspersky, dass die Fanny-Komponente dazu verwendet wurde, unbekannte Schwachstellen mit zwei Zero-Day-Exploits anzugreifen, von denen später bekannt wurde, dass sie in Stuxnet codiert sind.

Trotz einer so starken digitalen Ähnlichkeit mit Komponenten von Stuxnet würde ein Sprecher der NSA die Beteiligung der USA an Equation nicht bestätigen und erklären, dass die Agentur den Bericht kenne, ihn jedoch nicht diskutieren oder kommentieren wolle.

Ausgewähltes Bild: Ian Bunyan / Public Domain Pictures.net

Die Equation Group, Festplatten und der Todesstern der Malware
admin Author
Sorry! The Author has not filled his profile.