समीकरण समूह, हार्ड ड्राइव और मालवेयर का डेथ स्टार

[ware_item id=33][/ware_item]

समीकरण समूह, हार्ड ड्राइव और मालवेयर का डेथ स्टार


Kaspersky Lab के शोधकर्ताओं ने एक नए साइबर-जासूसी टूलसेट का खुलासा किया है, जो अमेरिकी खुफिया एजेंसियों द्वारा उपयोग किए जाने वाले समान किटों के समान है।.

पिछले सोमवार को जारी एक रिपोर्ट में, मास्को स्थित सुरक्षा फर्म ने हमले के साधनों को विस्तृत किया, जो कहता है कि यह "समीकरण समूह" द्वारा बनाया गया था।.

हैकर समूह, कैस्परस्की का कहना है, मैलवेयर के "डेथ स्टार" के रूप में इसका वर्णन करने वाली हजारों सरकारी एजेंसियों को सफलतापूर्वक घुसपैठ कर लिया है.

पीड़ितों की लंबी सूची में सैन्य निकाय, सरकार और राजनयिक संस्थान, इस्लामिक नेता और एयरोस्पेस, वित्त, मीडिया, ऊर्जा और तकनीकी उद्योगों की हजारों कंपनियां शामिल हैं।.

समीकरण समूह के कमांड और कंट्रोल बुनियादी ढांचे के विश्लेषण से पता चला कि यह कैसे व्यापक रूप से फैल गया है, जिसमें कुछ 300 डोमेन के साथ-साथ अमेरिका, ब्रिटेन, इटली, जर्मनी, पनामा, कोस्टा रिका, मलेशिया, कोलंबिया, चेक गणराज्य में स्थित 100 से अधिक सर्वर हैं। और बहुत सारे.

Kaspersky ने समीकरण द्वारा उपयोग किए गए औजारों के एक संग्रह का वर्णन किया, उनका नामकरण:

  • EQUATIONDRUG - समूह द्वारा अपने पीड़ितों पर इस्तेमाल किया गया एक बहुत ही जटिल हमला मंच। यह एक मॉड्यूल प्लगइन सिस्टम का समर्थन करता है, जिसे हमलावरों द्वारा गतिशील रूप से अपलोड और अनलोड किया जा सकता है.
  • DOUBLEFANTASY - एक सत्यापनकर्ता शैली ट्रोजन, लक्ष्य की पुष्टि करने के लिए डिज़ाइन किया गया इरादा है। यदि लक्ष्य की पुष्टि हो जाती है, तो वे एक अधिक परिष्कृत मंच जैसे कि EQUATIONDRUG या GRAYFISH में अपग्रेड हो जाते हैं.
  • Equestre - EQUATIONDRUG के समान.
  • TRIPLEFANTASY - फुल-फीचर्ड बैकडोर कभी-कभी साथ मिलकर इस्तेमाल किया जाता है GRAYFISH. DOUBLEFANTASY के अपग्रेड की तरह दिखता है, और संभवतः एक अधिक हाल ही में सत्यापनकर्ता-शैली प्लगइन है.
  • GRAYFISH - EQUATION समूह का सबसे परिष्कृत आक्रमण मंच। यह पूरी तरह से रजिस्ट्री में रहता है, बूट स्टार्टअप पर भरोसा करके ओएस स्टार्टअप पर निष्पादन प्राप्त करता है.
  • FANNY - 2008 में बनाया गया एक कंप्यूटर वर्म और मध्य पूर्व और एशिया में लक्ष्य के बारे में जानकारी इकट्ठा करने के लिए उपयोग किया जाता था। कुछ पीड़ितों को पहले डबलफैंटसी में अपग्रेड किया गया और फिर EQUATIONDRUG सिस्टम में अपग्रेड किया गया.
    फैनी ने दो शून्य-दिन की कमजोरियों के लिए कारनामों का इस्तेमाल किया, जिन्हें बाद में स्टक्सनेट के साथ खोजा गया था.
  • EQUATIONLASER - EQUATION समूह से एक प्रारंभिक प्रत्यारोपण, लगभग2001-2004 का उपयोग किया गया। विंडोज 95/98 के साथ संगत, और कुछ ही समय में DOUBLEFANTASY और EQUATIONDRUG के बीच बना.

कास्परस्की शोधकर्ताओं ने यह भी चेतावनी दी थी कि उपकरणों की सूची पूरी तरह से समाप्त होने की संभावना नहीं थी, यह सुझाव देते हुए कि समीकरण अभी भी वसंत के लिए और अधिक चौंकाने वाला हो सकता है.

चिंता की बात यह है कि कास्परस्की द्वारा खोजे गए कुछ उपकरण में पुराने पसंदीदा के साथ समानताएं हैं, जिसमें फ्लेम मालवेयर और स्टक्सनेट शामिल हैं, जिन्होंने अमेरिकी राष्ट्रपति बराक ओबामा के निर्देशन में ईरानी परमाणु रिएक्टरों को निशाना बनाया।.

समीकरण उपकरण "दर्जनों लोकप्रिय एचडीडी ब्रांडों" पर खोजे गए थे और, कास्परस्की लैब के वैश्विक अनुसंधान और विश्लेषण टीम के निदेशक कॉस्टिन रायू के अनुसार, यह अनिर्धारित और अप्रासंगिक दोनों ही रहने में सक्षम थे - मैलवेयर ड्राइव पर फर्मवेयर को संक्रमित कर देता है, जिससे यह अनुमति देता है। "पुनर्जीवित" होने के बाद भी, एक ड्राइव के सुधार के बाद भी या ऑपरेटिंग सिस्टम को फिर से इंस्टॉल किया गया था.

रायऊ ने समझाया:

“एक बार जब हार्ड ड्राइव इस दुर्भावनापूर्ण पेलोड से संक्रमित हो जाता है, तो इसके फर्मवेयर को स्कैन करना असंभव है। इसे सीधे शब्दों में कहें: अधिकांश हार्ड ड्राइव के लिए हार्डवेयर / फर्मवेयर क्षेत्र में लिखने के लिए फ़ंक्शन होते हैं, लेकिन इसे वापस पढ़ने के लिए कोई फ़ंक्शन नहीं होते हैं.

इसका मतलब है कि हम व्यावहारिक रूप से अंधे हैं, और इस मैलवेयर द्वारा संक्रमित हार्ड ड्राइव का पता नहीं लगा सकते हैं। "

ग्रेफिश टूल का उपयोग करते हुए, समीकरण हार्ड ड्राइव पर एक छिपा हुआ और लगातार क्षेत्र बनाता है जो तब चोरी हुए डेटा को बचाने के लिए उपयोग किया जाता है जिसे बाद में हमलावरों द्वारा एकत्र किया जा सकता है और एन्क्रिप्शन प्रोटोकॉल को तोड़ने के लिए उपयोग किया जाता है। Raiu ने बताया कि ग्रेफिश बूट पर कैसे चलती है, एन्क्रिप्टेड पासवर्डों को कैप्चर करना एक सापेक्ष हवा है.

मशीनों तक नेटवर्क पहुंच एक ड्राइव पर समीकरण प्राप्त करने के लिए एक आवश्यक शर्त भी नहीं है - Raiu ने बताया कि फैनी घटक विशेष रुचि का था, क्योंकि इसमें एयरगैप सुरक्षा को बायपास करने की क्षमता थी और इसे "अद्वितीय USB- आधारित कमांड और के माध्यम से प्रचारित किया जा सकता था" नियंत्रण तंत्र, “USB विभाजन का उपयोग एक छिपे हुए विभाजन के साथ किया जाता है जिसका उपयोग सिस्टम के सिस्टम को संस्थापित करने और सक्रिय करने के लिए किया जा सकता है.

जब USB स्टिक को बाद में इंटरनेट कनेक्टिविटी के साथ एक सिस्टम में प्लग किया जाता है तो यह स्टोर किए गए डेटा को उसके कमांड और कंट्रोल सर्वर को फॉरवर्ड कर देगा.

कैस्परस्की ने 2008 में मध्य पूर्व के एक शोध संस्थान से संबंधित कंप्यूटर का विश्लेषण करने के बाद समीकरण समूह को पीछे छोड़ना शुरू कर दिया। इसने दो शून्य-दिन के कारनामों के साथ अज्ञात भेद्यता पर हमला करने के लिए इस्तेमाल किए जा रहे फैनी घटक की खोज की, दोनों को बाद में स्टक्सनेट में कोडित किया गया।.

स्टक्सनेट के घटकों के लिए इतनी मजबूत डिजिटल समानता के बावजूद, एनएसए के एक प्रवक्ता ने समीकरण में अमेरिकी भागीदारी की पुष्टि नहीं की, यह कहते हुए कि एजेंसी को रिपोर्ट के बारे में पता था, लेकिन इस पर किसी भी टिप्पणी पर चर्चा करने या पारित करने के लिए अनिच्छा से था।.

विशेष रुप से प्रदर्शित चित्र: इयान ब्यान / पब्लिक डोमेन Pictures.net

समीकरण समूह, हार्ड ड्राइव और मालवेयर का डेथ स्टार
admin Author
Sorry! The Author has not filled his profile.