The Equation Group, los discos duros y la Estrella de la Muerte del malware

[ware_item id=33][/ware_item]

The Equation Group, los discos duros y la Estrella de la Muerte del malware


Los investigadores de Kaspersky Lab han descubierto un nuevo conjunto de herramientas de ciberespionaje que posee más que un parecido pasajero con kits similares utilizados por las agencias de inteligencia de EE. UU..

En un informe publicado el lunes pasado, la firma de seguridad con sede en Moscú detalló las herramientas de ataque que, según dice, fueron creadas por el "Grupo de Ecuación".

El grupo de hackers, dice Kaspersky, se infiltró con éxito en miles de agencias gubernamentales con lo que describe como la "Estrella de la Muerte" del malware.

La larga lista de víctimas incluye cuerpos militares, instituciones gubernamentales y diplomáticas, líderes islámicos y miles de empresas en las industrias aeroespacial, financiera, de medios, energética y tecnológica..

El análisis de la infraestructura de comando y control del grupo Equation reveló cuán ampliamente se ha extendido, presentando unos 300 dominios y más de 100 servidores ubicados en los EE. UU., Reino Unido, Italia, Alemania, Panamá, Costa Rica, Malasia, Colombia, la República Checa y muchos otros.

Kaspersky describió una colección de herramientas utilizadas por Equation, nombrándolas como:

  • MEDICAMENTOS - Una plataforma de ataque muy compleja utilizada por el grupo contra sus víctimas. Admite un sistema de módulo de complemento, que los atacantes pueden cargar y descargar dinámicamente.
  • DOBLE FANTASÍA - Un troyano estilo validador, diseñado para confirmar que el objetivo es el deseado. Si se confirma el objetivo, se actualizan a una plataforma más sofisticada como EQUATIONDRUG o GREYFISH.
  • EQUESTRE - Igual que EQUATIONDRUG.
  • TRIPLEFANTASÍA - Puerta trasera con todas las funciones que a veces se usa junto con Pez gris. Parece una actualización de DOUBLEFANTASY, y es posiblemente un complemento de estilo de validación más reciente.
  • Pez gris - La plataforma de ataque más sofisticada del grupo EQUATION. Reside completamente en el registro, confiando en un kit de arranque para obtener la ejecución al iniciar el sistema operativo.
  • COÑO - Un gusano informático creado en 2008 y utilizado para recopilar información sobre objetivos en Oriente Medio y Asia. Parece que algunas víctimas fueron actualizadas primero a DoubleFantasy y luego al sistema EQUATIONDRUG.
    Fanny usó exploits para dos vulnerabilidades de día cero que luego se descubrieron con Stuxnet.
  • EQUATIONLASER - Un implante temprano del grupo EQUATION, usado alrededor de 2001-2004. Compatible con Windows 95/98, y creado en algún momento entre DOUBLEFANTASY y EQUATIONDRUG.

Los investigadores de Kaspersky también advirtieron que la lista de herramientas era poco probable que fuera exhaustiva, y sugirieron que la ecuación aún podría tener más sorpresas..

Es preocupante que algunas de las herramientas descubiertas por Kaspersky tienen similitudes con los viejos favoritos, incluido el malware Flame y Stuxnet, que atacaron a los reactores nucleares iraníes bajo la dirección del presidente de Estados Unidos, Barack Obama..

Las herramientas de Equation se descubrieron en "docenas de marcas populares de HDD" y, según Costin Raiu, director del equipo global de investigación y análisis de Kaspersky Lab, pudieron permanecer sin ser detectados e inamovibles: el malware infectó el firmware en las unidades, lo que le permitió "Resucitar" a sí mismo, incluso después de formatear un disco o reinstalar el sistema operativo.

Raiu explicó:

“Una vez que el disco duro se infecta con esta carga maliciosa, es imposible escanear su firmware. En pocas palabras: para la mayoría de los discos duros hay funciones para escribir en el área de hardware / firmware, pero no hay funciones para volver a leerlo.

Significa que estamos prácticamente ciegos y no podemos detectar los discos duros que han sido infectados por este malware ".

Utilizando la herramienta Grayfish, Equation también crea un área oculta y persistente en un disco duro que luego se usa para guardar los datos robados que los atacantes pueden recopilar en un momento posterior y usar para romper los protocolos de cifrado. Raiu explicó cómo Grayfish se ejecuta en el arranque, lo que hace que la captura de contraseñas cifradas sea una brisa relativa.

El acceso de red a las máquinas ni siquiera es un requisito previo esencial para que Equation se conecte a una unidad de disco: Raiu explicó que el componente Fanny era de particular interés porque tenía la capacidad de eludir las defensas de espacio aéreo y podía propagarse a través de un "comando único basado en USB y mecanismo de control ", usando memorias USB con una partición oculta que podría usarse para recopilar datos del sistema de un sistema cuando está instalado y activado.

Cuando la memoria USB se conecta más tarde a un sistema con conectividad a Internet, reenviará los datos almacenados a sus servidores de comando y control.

Kaspersky comenzó a seguir al grupo Equation después de analizar una computadora perteneciente a un instituto de investigación de Medio Oriente en 2008. Descubrió que el componente Fanny se usaba para atacar vulnerabilidades desconocidas con dos exploits de día cero, que luego se descubrió que estaban codificados en Stuxnet..

A pesar de una semejanza digital tan fuerte con los componentes de Stuxnet, un portavoz de la NSA no confirmó la participación de EE. UU. En Equation, y dijo que la agencia estaba al tanto del informe, pero que no estaba dispuesto a discutirlo ni a comentarlo..

Imagen destacada: Ian Bunyan / Public Domain Pictures.net

The Equation Group, los discos duros y la Estrella de la Muerte del malware
admin Author
Sorry! The Author has not filled his profile.