Grupa Equation: glavni igrač u sajber špijunaži

Kompanija Kaspersky Lab otkriva ko je prethodnik pretnjama Stuxnet i Flame – moćan preteći akter koji apsolutno dominira sajber alatima i tehnikama

18. februar 2015.

Globalni istraživački i analitički tim kompanije Kaspersky Lab godinama detaljno prati više od 60 naprednih pretećih aktera koji su odgovorni za sajber napade širom sveta. Tim je video skoro sve, a napadi postaju sve složeniji, uključuje se sve više država i napadači pokušavaju da se naoružaju najnaprednijim alatia. Međutim, tek sad stručnjaci kompanije mogu da potvrde da su otkrili pretećeg aktera koji prevazilazi sva poznata saznanja o složenosti i sofisticiranosti tehnika, i koji je aktivan skoro dve decenije – grupa Equation.

Prema istraživačima kompanije Kaspersky Lab, grupa je jedinstvena u gotovo svakom aspektu svojih aktivnosti: koriste alate koji su veoma komplikovani i skupi za razvoj sa ciljem da zaraze žrtve, dobiju podatke i sakriju aktivnost na neverovatno profesionalan način, i koriste klasične špijunske tehnike kako bi preneli zloćudne softvere žrtvama.

Kako bi zarazila svoje žrtve, grupa koristi moćni arsenal “implanata” (Trojanaca), uključujući neke koje je imenovala kompanija Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny i GrayFish. Nema sumnje da će se još neki „implanti” pojaviti.

ŠTA ČINI GRUPU EQUATION JEDINSTVENOM?

Visok nivo upornosti i nevidljivosti

Globalni istraživački i analitički tim je uspeo da povrati dva modula koji omogućavaju programiranje firmvera hard drajva na više desetina popularnih HDD brendova. Ovo je možda najjači alat u arsenalu grupe Equation i prvi poznati zlonamerni softver sposoban da zarazi hard drajv.

Opasnost je u tome da kada se jednom zarazi hard drajv ovim zloćudnim softverom, nemoguće je skenirati njegov firmver. Da pojednostavimo: za većinu hard drajvova postoje funkcije koje pišu u oblast firmvera na hard drajvu, ali ne postoje funkcije da se to pročita. To znači da smo praktično slepi i da ne možemo da otkrijemo hard drajvove koji su zaraženi ovim softverom” – upozorava Kostin Raju, direktor globalnog istraživačkog i analitičkog tima kompanije Kaspersky Lab.

Sposobnost pristupa podacima iz izolovanih mreža

Crv Fanny se najviše izdvaja od svih napada grupe Equation. Njegova glavna svrha je da mapira zatvorene mreže, tj. da razume topologiju mreže kojoj se ne može pristupiti i izvrši komande na ovim izolovanim sistemima. Za ovo se koristi jedinstveni mehanizam za izvršenje zahteva i kontrolu zasnovan na USB-u koji omogućava napadačima da prenose podatke iz zatvorenih mreža.

Zaraženi USB stik sa skrivenim skladištem se posebno koristi da prikupi osnovne informacije o sistemu sa računara koji nije priključen na Internet, i dalje ih pošalje na C&C kada se USB prikači na računar zaražen crvom Fanny i povezanim na Internet. Ako napadači žele da izvrše komande na zatvorenim mrežama, mogu da ih sačuvaju u skrivenom delu USB stika. Kada se stik uključi u računar, crv Fanny prepoznaje komande i izvršava ih.

Klasične špijunske metode za prenošenje zloćudnih softvera

Napadači koriste univerzalne metode da zaraze mete: ne samo preko Interneta, već i u fizičkom svetu. Za to koriste tehniku presretanja – presreću fizička dobra i zamenjuju ih verzijama sa Trojancima. Jedan primer toga je kao metu imao učesnike naučne konferencije u Hjustonu: pri povratku kući, neki od učesnika su dobili kopiju materijala sa konferencije na CD-ovima koji su iskorišćeni kako bi se instalirao implant DoubleFantasy grupe na ciljane mašine. Još uvek nije poznato kako su uspeli da presretnu ove diskove.

ZLOGLASNI PRIJATELJI: STUXNET I FLAME

Postoje čvrsti dokazi da je grupa Equation sarađivala sa drugim moćnim grupama, kao što su operateri pretnji Stuxnet i Flame – i to uglavnom sa superiorne pozicije. Grupa Equation je imala pristup potpuno novim pretnjama pre nego što su ih koristili Stuxnet i Flame, i u nekom trenutku su počeli da dele plen sa ostalima.

Na primer, crv Fanny je 2008. godine koristio dve potpuno nove pretnje koje su uvedene u Stuxnet u junu 2009. i martu 2010. godine. Jedna od ovih pretnji je zapravo bio oblik pretnje Flame koji koristi istu ranjivost i koji je preuzet direktno sa platforme Flame i ugrađen u Stuxnet.

MOĆNA I GEOGRAFSKI RAŠIRENA INFRASTRUKTURA

Grupa Equation koristi široku C&C infrastrukturu od više od 300 domena i više od 100 servera. Serveri se nalaze u brojnim zemljama, uključujući SAD, UK, Italiju, Nemačku, Holandiju, Panamu, Kosta Riku, Maleziju, Kolumbiju i Češku republiku. Kompanija Kaspersky Lab trenutno otkriva nekoliko desetina od 300 C&C servera.

NA HILJADE ŽRTAVA VISOKOG PROFILA NA SVETSKOM NIVOU

Od 2001. godine, grupa Equation je uspela da zarazi hiljade, ako ne i desetine hiljada žrtava u više od 30 zemalja, i to u sektorima: vladine i diplomatske institucije, telekomunikacije, vazdušni prostor, energija, nuklearna istraživanja, nafta i gas, vojska, nanotehnologija, islamski aktivisti i naučnici, masovni mediji, saobraćaj, finansijske institucije i kompanije za razvijanje tehnologije za enkripciju.

OTKRIVANJE

Kompanija Kaspersky Lab je posmatrala sedam napada koji grupa Equation koristi u svom zloćudnom softveru. Bar četiri su korišćena kao potpuno nove pretnje. Takođe, praćeni su i nepoznati napadi na pretraživač Firefox 17, moguće potpuno nove pretnje, kako su korišćene u pretraživaču Tor.

Tokom faze zaraze, grupa može da koristi deset lančano povezanih napada. Međutim, stručnjaci kompanije Kaspersky Lab su primetili da se ne koristi više od tri: ako prvi nije uspešan, pokušava se sa drugim, a zatim sa trećim. Ako su sva tri napada neuspešna, sistem neće biti zaražen.

Proizvodi kompanije Kaspersky Lab su otkrili brojne napade na svoje korisnike. Većina ovih napada nisu bili uspešni zbog tehnologije automatskog sprečavanja pretnji koja generički otkriva i blokira zloupotrebu nepoznatih ranjivosti. Crv Fanny, za koga se smatra da je napravljen u julu 2008. godine, prvi put je otkriven i stavljen na crnu listu naših automatskih sistema u decembru 2008. godine.

Više informacija o grupi Equation možete da saznate na blogu sajta Securelist.com.

newsmaster