Equation Group, kiintolevyt ja haittaohjelmien Death Star

[ware_item id=33][/ware_item]

Equation Group, kiintolevyt ja haittaohjelmien Death Star


Kaspersky Labin tutkijat ovat paljastaneet uuden kybervakoilun työkalusarjan, jolla on enemmän kuin ohimenevä muistutus Yhdysvaltain tiedustelupalvelujen käyttämiin vastaaviin sarjoihin..

Viime maanantaina julkaistussa raportissa moskovalainen turvallisuusyritys selvitti hyökkäystyökaluja, jotka sen mukaan olivat luoneet ”Equation Group”.

Hakperskyn mukaan hakkerointiryhmä on onnistuneesti soluttautunut tuhansiin valtion virastoihin sen avulla, jota se kuvaa haittaohjelmien "kuolematähteeksi".

Pitkä uhriluettelo sisältää sotilaselimet, hallituksen ja diplomaattiset instituutiot, islamilaiset johtajat ja tuhannet yritykset ilmailu-, rahoitus-, media-, energia- ja tekniikkateollisuudessa.

Yhtälöryhmän komento- ja valvontainfrastruktuurin analyysi paljasti sen laajalle levinneisyydestä. Siinä on noin 300 verkkotunnusta ja yli 100 palvelinta Yhdysvalloissa, Isossa-Britanniassa, Italiassa, Saksassa, Panamassa, Costa Ricassa, Malesiassa, Kolumbiassa ja Tšekin tasavallassa. ja monet muut.

Kaspersky kuvasi kokoelman työkaluja, joita Equation käytti, nimeämällä ne seuraavasti:

  • EQUATIONDRUG - Erittäin monimutkainen hyökkäysalusta, jota ryhmä käyttää uhreihinsa. Se tukee moduulilaajennusjärjestelmää, jonka hyökkääjät voivat dynaamisesti ladata ja poistaa.
  • DOUBLEFANTASY - Validointityylinen troijalainen, joka on suunniteltu vahvistamaan tavoite. Jos tavoite vahvistetaan, he päivitetään monimutkaisempaan alustaan, kuten EQUATIONDRUG tai GREYFISH..
  • equestre - Sama kuin EQUATIONDRUG.
  • TRIPLEFANTASY - Täysin varusteltu takaovi, jota joskus käytetään yhdessä GRAYFISH. Näyttää päivitykseltä DOUBLEFANTASY, ja on mahdollisesti uudempi validointityylinen laajennus.
  • GRAYFISH - EQUATION-ryhmän edistynein hyökkäysalusta. Se sijaitsee täysin rekisterissä, luottaen käynnistyspakettiin saadaksesi suorituksen OS: n käynnistyksen yhteydessä.
  • FANNY - Vuonna 2008 luotu tietokonemato, jota käytettiin tiedon keräämiseen Lähi-idän ja Aasian kohteista. Jotkut uhrit näyttävät päivittyneen ensin DoubleFantasy-järjestelmään ja sitten EQUATIONDRUG-järjestelmään.
    Fanny käytti hyväksikäyttöä kahteen nolla päivän haavoittuvuuteen, jotka myöhemmin löydettiin Stuxnetistä.
  • EQUATIONLASER - Varhainen implantti Equation-ryhmältä, käytetty vuosina 2001-2004. Yhteensopiva Windows 95/98: n kanssa, ja luotu joskus DOUBLEFANTASY: n ja EQUATIONDRUG: n välillä.

Kaspersky-tutkijat varoittivat myös, että työkalujen luettelo ei todennäköisesti ollut tyhjentävä, mikä viittaa siihen, että yhtälöllä voi olla vielä enemmän yllätyksiä kevääseen.

Huolestuttavaa, että joillakin Kasperskyn löytämistä työkaluista on samankaltaisia ​​vanhojen suosikkeiden kanssa, kuten Flame-haittaohjelma ja Stuxnet, jotka kohdistivat Iranin ydinreaktorit Yhdysvaltain presidentin Barack Obaman johdolla..

Equation-työkalut löydettiin ”kymmenistä suosituista kiintolevymerkeistä”, ja Kaspersky Labin globaalin tutkimus- ja analysointiryhmän johtajan Costin Raiun mukaan ne pystyivät pysymään havaitsemattomina ja korjaamattomina - haittaohjelma tartutti asemien kiinteän ohjelmiston, jolloin se Itsensä "uudelleen", jopa aseman uudelleenmuotoilun tai käyttöjärjestelmän uudelleenasennuksen jälkeen.

Raiu selitti:

”Kun kiintolevy on saanut tartunnan tällä haitallisella hyötykuormalla, on mahdotonta skannata sen laiteohjelmistoa. Yksinkertaisesti sanottuna: useimmissa kiintolevyissä on toimintoja, jotka voidaan kirjoittaa laitteisto- / laiteohjelmistoalueelle, mutta ei ole toimintoja, jotka lukevat sen takaisin.

Se tarkoittaa, että olemme käytännössä sokeita, etkä pysty tunnistamaan tämän haittaohjelman tartuttamia kiintolevyjä. "

Harmaakala-työkalun avulla yhtälö luo myös piilotetun ja pysyvän alueen kiintolevylle, jota käytetään sitten varastettujen tietojen tallentamiseen, jotka hyökkääjät voivat kerätä myöhemmin ja joita voidaan käyttää salausprotokollien rikkomiseen. Raiu selitti, kuinka harmaakala kulkee käynnistyessä, jolloin salattujen salasanojen kaappaaminen oli suhteellisen helppoa.

Verkkoon pääsy koneisiin ei ole edes välttämätön edellytys Equationin saamiseksi asemalle - Raiu selitti, että Fanny-komponentti oli erityisen kiinnostava, koska sillä oli kyky ohittaa lentokoneen puolustus ja sitä voidaan levittää "ainutlaatuisen USB-pohjaisen komennon ja ohjausmekanismi ”, käyttämällä USB-tikkuja piilotetulla osiolla, jota voidaan käyttää keräämään järjestelmätietoja järjestelmästä, kun ne on asennettu ja aktivoitu.

Kun USB-tikku liitetään myöhemmin verkkoon, jossa on Internet-yhteys, se välittää tallennetut tiedot komento- ja hallintapalvelimilleen.

Kaspersky aloitti yhtälöryhmän jäljittämisen analysoidessaan Lähi-idän tutkimusinstituutiin kuuluvaa tietokonetta vuonna 2008. Se löysi Fanny-komponentin, jota käytettiin tuntemattomien haavoittuvuuksien torjuntaan kahdella nollapäivän hyväksikäytöllä, jotka molemmat löydettiin myöhemmin koodatuiksi Stuxnetiin..

Huolimatta niin voimakkaasta digitaalisesta samankaltaisuudesta Stuxnetin komponenttien kanssa, NSA: n tiedottaja ei vahvistanut Yhdysvaltojen osallistumista Equationiin sanomalla, että virasto oli tietoinen raportista, mutta ei halunnut keskustella tai antaa kommentteja sille..

Esitelty kuva: Ian Bunyan / Public Domain Pictures.net

Equation Group, kiintolevyt ja haittaohjelmien Death Star
admin Author
Sorry! The Author has not filled his profile.