The Equation Group, hard disk e la Morte Nera del malware

[ware_item id=33][/ware_item]

The Equation Group, hard disk e la Morte Nera del malware


I ricercatori del Kaspersky Lab hanno scoperto un nuovo set di strumenti per lo spionaggio informatico che possiede più di una somiglianza di passaggio con kit simili utilizzati dalle agenzie di intelligence statunitensi.

In un rapporto pubblicato lo scorso lunedì, la società di sicurezza con sede a Mosca ha dettagliato gli strumenti di attacco che afferma siano stati creati dal "Gruppo di equazioni".

Il gruppo di hacker, afferma Kaspersky, si è infiltrato con successo in migliaia di agenzie governative con quella che definisce la "Morte Nera" del malware.

La lunga lista delle vittime comprende enti militari, istituzioni governative e diplomatiche, leader islamici e migliaia di aziende nelle industrie aerospaziale, finanziaria, dei media, dell'energia e della tecnologia.

L'analisi dell'infrastruttura di comando e controllo del gruppo Equation ha rivelato la sua ampia diffusione, con circa 300 domini e oltre 100 server situati negli Stati Uniti, nel Regno Unito, in Italia, Germania, Panama, Costa Rica, Malesia, Colombia, Repubblica Ceca e molti altri.

Kaspersky ha descritto una raccolta di strumenti utilizzati da Equation, denominandoli come:

  • EQUATIONDRUG - Una piattaforma di attacco molto complessa utilizzata dal gruppo sulle sue vittime. Supporta un sistema di plug-in del modulo, che può essere caricato e scaricato in modo dinamico dagli aggressori.
  • DOUBLEFANTASY - Un Trojan in stile validatore, progettato per confermare l'obiettivo è quello previsto. Se l'obiettivo viene confermato, vengono aggiornati a una piattaforma più sofisticata come EQUATIONDRUG o GRAYFISH.
  • EQUESTRE - Lo stesso di EQUATIONDRUG.
  • TRIPLEFANTASY - Backdoor con funzionalità complete a volte utilizzato in combinazione con GRAYFISH. Sembra un aggiornamento di DOUBLEFANTASY ed è probabilmente un plug-in più recente in stile validatore.
  • GRAYFISH - La piattaforma di attacco più sofisticata del gruppo EQUATION. Risiede completamente nel registro, basandosi su un bootkit per ottenere l'esecuzione all'avvio del sistema operativo.
  • FANNY - Un worm creato nel 2008 e utilizzato per raccogliere informazioni sugli obiettivi in ​​Medio Oriente e Asia. Alcune vittime sembrano essere state prima aggiornate a DoubleFantasy e poi al sistema EQUATIONDRUG.
    Fanny ha usato exploit per due vulnerabilità zero-day che sono state successivamente scoperte con Stuxnet.
  • EQUATIONLASER - Un impianto precoce del gruppo EQUATION, usato intorno al 2001-2004. Compatibile con Windows 95/98 e creato a volte tra DOUBLEFANTASY e EQUATIONDRUG.

I ricercatori di Kaspersky hanno anche avvertito che è improbabile che l'elenco degli strumenti sia esaustivo, suggerendo che l'equazione potrebbe ancora avere più sorprese a primavera.

Cosa preoccupante, alcuni degli strumenti scoperti da Kaspersky hanno somiglianze con i vecchi preferiti tra cui il malware Flame e Stuxnet che hanno preso di mira i reattori nucleari iraniani sotto la direzione del presidente americano Barack Obama.

Gli strumenti di equazione sono stati scoperti su "decine di noti marchi di HDD" e, secondo Costin Raiu, direttore del team di ricerca e analisi globale di Kaspersky Lab, sono stati in grado di rimanere non rilevati e inamovibili: il malware ha infettato il firmware su unità, permettendogli di "Resurrect" stesso, anche dopo che un disco è stato riformattato o il sistema operativo è stato reinstallato.

Raiu ha spiegato:

“Una volta che il disco rigido viene infettato da questo payload dannoso, è impossibile eseguire la scansione del firmware. Per dirla semplicemente: per la maggior parte dei dischi rigidi ci sono funzioni da scrivere nell'area hardware / firmware, ma non ci sono funzioni per rileggerlo.

Significa che siamo praticamente ciechi e non siamo in grado di rilevare dischi rigidi che sono stati infettati da questo malware. "

Utilizzando lo strumento Grayfish, Equation crea anche un'area nascosta e persistente su un disco rigido che viene quindi utilizzata per salvare i dati rubati che possono essere raccolti in un secondo momento dagli aggressori e utilizzati per violare i protocolli di crittografia. Raiu ha spiegato come funziona Grayfish all'avvio, rendendo l'acquisizione di password crittografate un gioco da ragazzi.

L'accesso alla rete delle macchine non è nemmeno un prerequisito essenziale per ottenere l'equazione su un'unità - Raiu ha spiegato che il componente Fanny era di particolare interesse perché aveva la capacità di aggirare le difese del gap aereo e poteva essere propagato tramite un "comando basato su USB unico e meccanismo di controllo ", utilizzando chiavette USB con una partizione nascosta che potrebbe essere utilizzata per raccogliere i dati di sistema da un sistema quando installato e attivato.

Quando la chiavetta USB viene successivamente collegata a un sistema con connettività Internet, inoltrerà i dati memorizzati ai suoi server di comando e controllo.

Kaspersky ha iniziato a seguire il gruppo Equation dopo aver analizzato un computer appartenente a un istituto di ricerca in Medio Oriente nel 2008. Ha scoperto che la componente Fanny veniva utilizzata per attaccare vulnerabilità sconosciute con due exploit zero-day, entrambi i quali sono stati successivamente scoperti per essere codificati in Stuxnet.

Nonostante una forte somiglianza digitale con i componenti di Stuxnet, un portavoce dell'NSA non confermerebbe il coinvolgimento degli Stati Uniti nell'Equazione, affermando che l'agenzia era a conoscenza del rapporto ma non era disposta a discutere o trasmettere con riluttanza alcun commento al riguardo.

Immagine in primo piano: Ian Bunyan / Public Domain Pictures.net

The Equation Group, hard disk e la Morte Nera del malware
admin Author
Sorry! The Author has not filled his profile.