Kaspersky descrie un grup ultra-performant de infractori cibernetici ce are legatura cu SUA si cu creatorii Stuxnet

18.02.2015 18:18

Compania de securitate Kaspersky a publicat marti un raport in care da detalii despre un grup de infractori cibernetici care au actionat cu o complexitate fara precedent pentru a ataca computere ale guvernelor din 30 de tari. Grupul are legaturi solide cu creatorii celebrului "vierme" informatic Stuxnet, creat in SUA si Israel pentru a ataca instalatiile nucleare iraniene. Si in prezent Iranul este o tinta prioritara a atacurilor descrise acum, alaturi de tari precum Rusia, Pakistan, Afghanistan, India si Siria.

Kaspersky a denumit grupul "Equation" si spune ca din 2001 a infectat mii sau zeci de mii de computere din 30 de tari. Kaspersky spune ca acest grup a depasit in materie de complexitate tot ce a intalnit pana acum, tehnicile gruparii fiind unice in toate aspectele activitatii sale. Utilizeaza metode complicate si scumpe pentru a infecta victimele si apoi are acces la date si isi mascheaza actiunile cu un profesionalism remarcabil.

Tintele sunt din 30 de tari si mai exact este vorba de guverne, institutii guvernamentale, diplomatice, ale armatei, ale media , organizatii islamice si companii telecom. Tintele au fost alese cu o "precizie chirurgicala" si includ hidrocentrale, centrale nucleare si institute de nanotehnologie.

Chiar daca nu acuza direct National Security Agency din SUA, Kaspersky sugereaza indirect ca atacul a fost pus la punct de Statele Unite.

O parte dintre "tool-urile" de supraveghere au fost ascunse bine in hard-disk-uri produse de companii precum Toshiba, Western Digital, Seagate si IBM.

Kaspersky spune ca unul dintre "tool-urile" de supraveghere era inserat in codul firmware al computerului care trimite mesaje catre restul computerului cand acesta e deschis. Compania de securitate spune ca e o realizare tehnica extraordinara fiindca e greu de detectat.

Practic, grupul Equation a avut particularitatea de a putea infecta hard-disk-urile si soft-ul care le gestioneaza functionarea. Aceste discuri puteau fi reprogramate, astfel incat virusii sa devina imposibil de eliminat.

Grupul are legaturi solide cu creatorii celebrului "vierme" informatic Stuxnet, creat in SUA si Israel pentru a ataca instalatiile nucleare iraniene. Cele mai afectate tari sunt Iran, Rusia, Pakistan, Afghanistan, China, Mali, Siria, Yemen si Algeria.

UPDATE Iata comunicatul complet al Kaspersky

Expertii Kaspersky Lab din cadrul echipei Global Research and Analysis Team (GReAT) monitorizeaza cu atentie, de ani de zile, peste 60 de grupuri de atacatori responsabile de multe dintre amenintarile cibernetice avansate la nivel global. Insa, abia acum, cercetatorii Kaspersky Lab pot confirma ca au descoperit o grupare mult mai evoluata decat tot ce a fost descoperit anterior – Equation Group, care este activa de aproape doua decenii.

Incepand cu 2001, Equation Group a infectat mii sau zeci de mii de victime din peste 30 de tari la nivel global, vizand tinte din urmatoarele sectoare: institutii guvernamentale si diplomatice, telecomunicatii, industria aeronautica, energie, cercetare nucleara, industria de petrol si gaze, armata, industria nanotehnologiei, activisti si studenti islamici, presa, transporturi, institutii financiare si companii care dezvolta tehnologii de criptare.

Grupul Equation utilizeaza o infrastructura complexa de comanda si control (C&C) care include peste 300 de domenii si peste 100 de servere. Serverele sunt gazduite in mai multe tari, printre care se numara: SUA, Marea Britanie, Italia, Germania, Olanda, Panama, Costa Rica, Malaezia, Columbia si Republica Ceha. In prezent, expertii Kaspersky Lab au preluat controlul asupra a catorva zeci de servere de comanda si control (C&C) din cele 300 descoperite.

Pentru a infecta victimele, infractorii cibernetici utilizeaza un arsenal puternic de malware. Echipa GReAT a recuperat doua module care permit atacatorilor sa reprogrameze firmware-ul din hard disk-urile mai multor dezvoltatori cunoscuti. Acesta este probabil cel mai puternic instrument utilizat de grupul Equation, fiind primul malware care poate infecta hard disk-uri.
Prin reprogramarea firmware-ului de pe HDD (rescrierea sistemului de operare intern al hard disk-ului), grupul Equation atinge doua obiective:

1.    Dobandirea de acces persistent, nefiind influentat de formatarea hard disk-ului sau de reinstalarea sistemului de operare. Daca malware-ul infecteaza firmware-ul, poate fi activ la infinit si poate preveni stergerea unui anumit segment al disk-ului sau il poate inlocui cu un segment periculos in timpul pornirii sistemului.

„Atunci cand hard disk-ul este infectat cu acest malware, este imposibil ca aceasta infectie a firmware-ului sa fie identificata,” a declarat Costin Raiu, Director Global Research and Analysis Team din cadrul Kaspersky Lab.„Pe scurt, pentru cele mai multe hard disk-uri exista mecanisme care pot scrie in zona firmware-ului, dar nu exista mecanisme care le pot citi. Acest lucru inseamna ca suntem practic orbi si nu putem detecta hard disk-urile infectate cu acest malware,” a explicat Costin Raiu.

2.    Abilitatea de a dezvolta o zona invizibila pe hard disk, care sa fie utilizata pentru a stoca informatii confidentiale, pe care atacatorii le pot extrage ulterior. De asemenea, in anumite situatii, aceasta zona invizibila poate ajuta gruparea de atacatori sa captureze parola folosita de utilizator pentru criptareea HDD-ului.

„Luand in considerare faptul ca implantul GrayFish este activ inca din momentul de boot al sistemului, infractorii cibernetici au posibilitatea sa intercepteze parola folosita pentru criptare si sa o salveze in aceasta zona invizibila,” a avertizat Costin Raiu.

Pe langa acestea, atacatorii din gruparea Equation se evidentiaza prin utilizarea viermelui Fanny. Acesta are capabilitatea de a cartografia structura retelelor air-gapped, si anume deconectate de la internet, folosite de obicei in infrastructuri critice, cu scopul final de a le permite atacatorilor executia de comenzi pe aceste sisteme critice. Astfel, gruparea de atacatori utiliza un mecanism unic de control si comanda care le permitea sa faca schimb de date cu aceste retele izolate.

In plus, atacatorii utilizau stick-uri USB infectate care aveau un segment invizibil pentru stocare, pentru a colecta informatii de baza despre sistem de la computerele care nu erau conectate la internet. Ulterior, datele erau trimise la sistemul de comanda si control atunci cand stick-ul USB era conectat la un computer infectat cu Fanny si cu acces la internet. In cazul in care atacatorii intentionau sa ruleze comenzi in retelele fara conexiune la internet, eile puteau stoca in zona invizibila a stick-ului USB. In momentul in care stick-ul era conectat la computerul fara conexiune la internet, malware-ul Fanny recunostea comenzile respectivesi le executa.

Mai mult, expertii Kaspersky Lab au descoperit informatii care indica faptul ca grupul Equation interactiona cu alte grupari periculoase, precum operatorii Stuxnet si Flame. Grupul Equation avea acces la exploit-urile de tip zero-day inainte ca acestea sa fie utilizate de Stuxnet si Flame si le impartasea cu alte grupuri de atacatori. De exemplu, in 2008, Fanny utiliza deja doua exploit-uri zero-day, integrate in Stuxnet abia in iunie 2009 si in martie 2010. Unul dintre aceste exploit-uri zero-day era de fapt un modul Flame care exploata aceeasi vulnerabilitate si care a fost preluat direct din platforma Flame pentru a fi integrat in Stuxnet.

Expertii Kaspersky Lab au observat sapte exploit-uri utilizate de grupul Equation, dintre care cel putin patru au fost utilizate ca exploit-uri zero-day.In plus, expertii Kaspersky Lab au observat si utilizarea unor exploit-uri necunoscute, posibil de tip zero-day, folosite impotriva Firefox 17 folosit in Tor Browser Bundle.
In timpul procesului de infectare, grupul putea utiliza pana la zece exploit-uri in lant. Totusi, expertii Kaspersky Lab au observat ca atacatorii nu folosesc de obicei mai mult de trei exploit-uri: daca primul nu are succes, atacatorii incearca al doilea si al treilea exploit. Daca toate esueaza, sistemul nu va mai fi infectat.

sursa:hotnews