Equation Group, harddisker og Death Star av malware

[ware_item id=33][/ware_item]

Equation Group, harddisker og Death Star av malware


Forskere ved Kaspersky Lab har avdekket et nytt verktøy for nett-spionasje som har mer enn en forbigående likhet med lignende sett som brukes av amerikanske etterretningsorganer.

I en rapport som ble utgitt forrige mandag, detaljerte det Moskva-baserte sikkerhetsfirma angrepsverktøyene som det står at ble opprettet av "Equation Group".

Hackergruppen, sier Kaspersky, infiltrerte vellykket tusenvis av offentlige etater med det den beskriver som "Death Star" av malware.

Den lange listen over ofre inkluderer militære organer, myndigheter og diplomatiske institusjoner, islamske ledere og tusenvis av firmaer over fly-, finans-, medie-, energi- og teknologibransjer..

Analyse av Equation-gruppens kommando- og kontrollinfrastruktur avslørte hvor vidt den er blitt, og inneholder rundt 300 domener samt over 100 servere i USA, Storbritannia, Italia, Tyskland, Panama, Costa Rica, Malaysia, Colombia, Tsjekkia og mange andre.

Kaspersky beskrev en samling verktøy som ble brukt av Equation, og navngav dem som:

  • EQUATIONDRUG - En veldig kompleks angrepsplattform brukt av gruppen på ofrene. Den støtter et modul-plugin-system, som kan lastes opp og lastes dynamisk av angriperne.
  • DOUBLEFANTASY - En trojan i validator-stil, designet for å bekrefte målet, er det tilsiktede. Hvis målet blir bekreftet, blir de oppgradert til en mer sofistikert plattform som EQUATIONDRUG eller GRAYFISH.
  • EQUESTRE - Samme som EQUATIONDRUG.
  • TRIPLEFANTASY - Fullt utstyrt bakdør noen ganger brukt i takt med GRAYFISH. Ser ut som en oppgradering av DOUBLEFANTASY, og er muligens en nyere plugin for validatorstil.
  • GRAYFISH - Den mest sofistikerte angrepsplattformen fra EQUATION Group. Den ligger fullstendig i registeret, og er avhengig av en bootkit for å få utført ved oppstart av OS.
  • FANNY - En datamaskinorm opprettet i 2008 og ble brukt til å samle informasjon om mål i Midt-Østen og Asia. Noen ofre ser ut til å ha blitt oppgradert først til DoubleFantasy, og deretter til EQUATIONDRUG-systemet.
    Fanny brukte utnyttelser for to nulldagers sårbarheter som senere ble oppdaget med Stuxnet.
  • EQUATIONLASER - Et tidlig implantat fra EQUATION-gruppen, brukt rundt2001-2004. Kompatibel med Windows 95/98, og opprettet en gang mellom DOUBLEFANTASY og EQUATIONDRUG.

Kaspersky-forskere advarte også om at listen over verktøy sannsynligvis ikke ville være uttømmende, noe som antyder at Ligning fremdeles kan ha flere overraskelser til våren.

Bekymringsverdig har noen av verktøyene oppdaget av Kaspersky likheter med gamle favoritter, inkludert Flame-malware og Stuxnet, som målrettet iranske atomreaktorer under ledelse av USAs president Barack Obama.

Likningsverktøyene ble oppdaget på “dusinvis av populære HDD-merker”, og ifølge Costin Raiu, direktør for Kaspersky Labs globale forsknings- og analyseteam, var de i stand til å forbli både uoppdaget og uopptakelig - malware skadet firmware på stasjoner, slik at den kunne "Gjenoppstå" selv, selv etter at en stasjon ble formatert på nytt eller operativsystemet ble installert på nytt.

Raiu forklarte:

“Når harddisken blir smittet med denne ondsinnede nyttelasten, er det umulig å skanne firmware. For å si det enkelt: for de fleste harddisker er det funksjoner som kan skrives inn i maskinvare / firmware-området, men det er ingen funksjoner for å lese den tilbake.

Det betyr at vi praktisk talt er blinde og ikke kan oppdage harddisker som har blitt infisert av denne skadelige programvaren. "

Ved hjelp av Grayfish-verktøyet skaper Equation også et skjult og vedvarende område på en harddisk som deretter brukes til å lagre stjålne data som kan bli samlet inn på et senere tidspunkt av angriperne og brukt til å bryte krypteringsprotokoller. Raiu forklarte hvordan Grayfish kjører på start, noe som gjorde fangst av krypterte passord til en relativ bris.

Nettverkstilgang til maskiner er ikke en gang en essensiell forutsetning for å få ligningen videre til en stasjon - Raiu forklarte at Fanny-komponenten var av spesiell interesse fordi den hadde muligheten til å omgå airgap-forsvar og kunne forplantes via en "unik USB-basert kommando og kontrollmekanisme, ”ved hjelp av USB-pinner med en skjult partisjon som kan brukes til å samle systemdata fra et system når det installeres og aktiveres.

Når USB-pinnen senere er koblet til et system med internett-tilkobling, vil den videresende de lagrede dataene til kommando- og kontrollserverne.

Kaspersky begynte å følge Equation-gruppen etter å ha analysert en datamaskin som tilhørte et forskningsinstitutt i Midt-Østen i 2008. Den oppdaget Fanny-komponenten som ble brukt til å angripe ukjente sårbarheter med to dagers utnyttelse, som begge senere ble oppdaget å bli kodet i Stuxnet.

Til tross for en så sterk digital likhet med komponenter i Stuxnet, ville ikke en talsperson for NSA bekrefte USAs engasjement i ligning, og sa at byrået var klar over rapporten, men ikke ville diskutere eller gi noen kommentar om den..

Utvalgt bilde: Ian Bunyan / Public Domain Pictures.net

Equation Group, harddisker og Death Star av malware
admin Author
Sorry! The Author has not filled his profile.