The Equation Group, les disques durs et l’étoile de la mort des logiciels malveillants

[ware_item id=33][/ware_item]

The Equation Group, les disques durs et l'étoile de la mort des logiciels malveillants


Des chercheurs de Kaspersky Lab ont découvert un nouvel ensemble d'outils de cyberespionnage qui présente plus qu'une ressemblance passagère avec des kits similaires utilisés par les agences de renseignement américaines..

Dans un rapport publié lundi dernier, la firme de sécurité basée à Moscou a détaillé les outils d'attaque qui, selon elle, ont été créés par le «Groupe d'équation».

Le groupe de hackers, dit Kaspersky, a réussi à infiltrer des milliers d'agences gouvernementales avec ce qu'il décrit comme «l'étoile de la mort» des logiciels malveillants.

La longue liste de victimes comprend des corps militaires, des institutions gouvernementales et diplomatiques, des dirigeants islamiques et des milliers d'entreprises des secteurs de l'aérospatiale, de la finance, des médias, de l'énergie et de la technologie.

L'analyse de l'infrastructure de commandement et de contrôle du groupe Equation a révélé sa large diffusion, avec quelque 300 domaines ainsi que plus de 100 serveurs situés aux États-Unis, au Royaume-Uni, en Italie, en Allemagne, au Panama, au Costa Rica, en Malaisie, en Colombie, en République tchèque et plein d'autres.

Kaspersky a décrit une collection d'outils utilisés par Equation, les nommant comme:

  • EQUATIONDRUG - Une plateforme d'attaque très complexe utilisée par le groupe contre ses victimes. Il prend en charge un système de plugin de module, qui peut être téléchargé et déchargé dynamiquement par les attaquants.
  • DOUBLEFANTASY - Un cheval de Troie de type validateur, conçu pour confirmer que la cible est bien celle qui est prévue. Si la cible est confirmée, ils sont mis à niveau vers une plate-forme plus sophistiquée comme EQUATIONDRUG ou GRAYFISH.
  • EQUESTRE - Identique à EQUATIONDRUG.
  • TRIPLEFANTASY - Porte dérobée complète parfois utilisée en tandem avec OMBRE DE RIVIÈRE. Ressemble à une mise à niveau de DOUBLEFANTASY, et est peut-être un plugin de style validateur plus récent.
  • OMBRE DE RIVIÈRE - La plate-forme d'attaque la plus sophistiquée du groupe EQUATION. Il réside complètement dans le registre, en s'appuyant sur un kit de démarrage pour obtenir l'exécution au démarrage du système d'exploitation.
  • CHATTE - Un ver informatique créé en 2008 et utilisé pour recueillir des informations sur des cibles au Moyen-Orient et en Asie. Certaines victimes semblent avoir été mises à niveau d'abord vers DoubleFantasy, puis vers le système EQUATIONDRUG.
    Fanny a utilisé des exploits pour deux vulnérabilités zero-day qui ont été découvertes plus tard avec Stuxnet.
  • EQUATIONLASER - Un implant précoce du groupe EQUATION, utilisé vers 2001-2004. Compatible avec Windows 95/98, et créé entre DOUBLEFANTASY et EQUATIONDRUG.

Les chercheurs de Kaspersky ont également averti que la liste des outils était peu susceptible d'être exhaustive, suggérant que l'équation pourrait encore avoir plus de surprises au printemps.

De façon inquiétante, certains des outils découverts par Kaspersky ont des similitudes avec d'anciens favoris, notamment le malware Flame et Stuxnet qui ciblaient les réacteurs nucléaires iraniens sous la direction du président américain Barack Obama.

Les outils Equation ont été découverts sur «des dizaines de marques de disques durs populaires» et, selon Costin Raiu, directeur de l'équipe mondiale de recherche et d'analyse de Kaspersky Lab, ont pu rester à la fois non détectés et inamovibles - le malware a infecté le firmware des lecteurs, ce qui lui a permis de Se ressusciter, même après le reformatage d'un disque ou la réinstallation du système d'exploitation.

Raiu a expliqué:

«Une fois que le disque dur est infecté par cette charge utile malveillante, il est impossible de scanner son firmware. Pour le dire simplement: pour la plupart des disques durs, il existe des fonctions pour écrire dans la zone matériel / firmware, mais il n'y a pas de fonctions pour le relire.

Cela signifie que nous sommes pratiquement aveugles et que nous ne pouvons pas détecter les disques durs infectés par ce logiciel malveillant. »

À l'aide de l'outil Grayfish, Equation crée également une zone cachée et persistante sur un disque dur qui est ensuite utilisée pour enregistrer les données volées qui peuvent être collectées ultérieurement par les attaquants et utilisées pour briser les protocoles de cryptage. Raiu a expliqué comment Grayfish s'exécute au démarrage, ce qui rend la capture de mots de passe cryptés une brise relative.

L'accès réseau aux machines n'est même pas une condition préalable essentielle pour obtenir l'équation sur un lecteur - Raiu a expliqué que le composant Fanny était particulièrement intéressant car il avait la capacité de contourner les défenses de l'espace aérien et pouvait être propagé via une «commande USB unique et mécanisme de contrôle ", à l'aide de clés USB avec une partition cachée qui pourrait être utilisée pour collecter les données système d'un système lorsqu'il est installé et activé.

Lorsque la clé USB est ultérieurement connectée à un système doté d'une connectivité Internet, elle transmet les données stockées à ses serveurs de commande et de contrôle.

Kaspersky a commencé à suivre le groupe Equation après avoir analysé un ordinateur appartenant à un institut de recherche du Moyen-Orient en 2008. Il a découvert le composant Fanny utilisé pour attaquer des vulnérabilités inconnues avec deux exploits zero-day, qui ont tous deux été découverts plus tard pour être codés dans Stuxnet.

Malgré une forte ressemblance numérique avec les composants de Stuxnet, un porte-parole de la NSA n'a pas confirmé l'implication des États-Unis dans Equation, affirmant que l'agence était au courant du rapport mais n'était pas disposée à en discuter ou à faire des commentaires à son sujet..

Image en vedette: Ian Bunyan / Public Domain Pictures.net

The Equation Group, les disques durs et l'étoile de la mort des logiciels malveillants
admin Author
Sorry! The Author has not filled his profile.