Οι ειδικοί της Kaspersky Lab μπόρεσαν να επιβεβαιώσουν ότι έχουν ανακαλύψει έναν φορέα απειλών, ο οποίος ξεπερνά οτιδήποτε γνωστό ως προς την πολυπλοκότητα και την εξειδίκευση των τεχνικών του.
Μάλιστα, ο συγκεκριμένος φορέας, η ομάδα Equation Group, είναι ενεργός εδώ και σχεδόν δύο δεκαετίες. Σύμφωνα με τους ερευνητές της Kaspersky Lab, η ομάδα αυτή είναι μοναδική σχεδόν σε κάθε πτυχή των δραστηριοτήτων της. Χρησιμοποιεί ιδιαίτερα περίπλοκα και δαπανηρά στην ανάπτυξή τους εργαλεία, με σκοπό να «μολύνει» τα θύματα, να ανακτήσει δεδομένα και να κρύψει τη δραστηριότητα της με έναν εξαιρετικά επαγγελματικό τρόπο, αξιοποιώντας κλασικές τεχνικές κατασκοπείας, ώστε να μεταφέρει κακόβουλα φορτία στα θύματα.
Για να «μολύνει» τα θύματά της, η ομάδα αυτή χρησιμοποιεί ένα ισχυρό «οπλοστάσιο» με «εμφυτεύματα» (Trojans), συμπεριλαμβανομένων και των ακολούθων (βάσει ονομασιών που έχουν αποδοθεί από την Kaspersky Lab): Equation Laser, Equation Drug, Double Fantasy, Triple Fantasy, Fanny και Gray Fish. Χωρίς αμφιβολία, θα υπάρξουν και άλλα ενεργά «εμφυτεύματα» εκτός των προαναφερθέντων.
ΤΙ ΚΑΘΙΣΤΑ ΤΟ EQUATION GROUP ΜΟΝΑΔΙΚΟ;
Απόλυτη επιμονή και απόκρυψη
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab μπόρεσε να ανακτήσει δύο μονάδες, οι οποίες επιτρέπουν τον επαναπρογραμματισμό του firmware σκληρών δίσκων από περισσότερους από 12 δημοφιλείς κατασκευαστές. Αυτό είναι ίσως το πιο ισχυρό εργαλείο στο «οπλοστάσιο» του Equation Group και το πρώτο γνωστό κακόβουλο λογισμικό με την ικανότητα να «μολύνει» σκληρούς δίσκους.
Δυνατότητα ανάκτησης δεδομένων από μεμονωμένα δίκτυα
Το worm «Fanny» ξεχωρίζει από όλες τις επιθέσεις που πραγματοποιήθηκαν από το Equation Group. Ο κύριος σκοπός του ήταν να χαρτογραφεί δίκτυα με «air gap». Με άλλα λόγια, να κατανοεί την τοπολογία δικτύων που δεν είναι προσιτά και να εκτελεί εντολές σε αυτά τα μεμονωμένα συστήματα. Για το σκοπό αυτό, χρησιμοποιείται ένας μοναδικός μηχανισμός «command and control», ο οποίος βασίζεται σε USB και επέτρεπε στους επιτιθέμενους να μεταφέρουν δεδομένα από και προς τα δίκτυα με «air gap».
Ειδικότερα, ένα μη «μολυσμένο» USB stick με κρυφό αποθηκευτικό χώρο χρησιμοποιήθηκε για τη συλλογή βασικών πληροφοριών του συστήματος από έναν υπολογιστή που δεν ήταν συνδεδεμένος στο Internet, καθώς και για την αποστολή τους στον C&C μηχανισμό όταν το USB αυτό συνδέθηκε σε υπολογιστή που έχει προσβληθεί από το worm «Fanny» και βρισκόταν συνδεδεμένος στο Διαδίκτυο. Αν οι επιτιθέμενοι ήθελαν να εκτελέσουν εντολές σε δίκτυα με «air gap», θα μπορούσαν να αποθηκεύσουν τις εντολές στον κρυφό αποθηκευτικό χώρο του USB. Μόλις το USB συνδεόταν στον υπολογιστή με «air gap», το «Fanny» αναγνώριζε τις εντολές και τις εκτελούσε.
Κλασικές μέθοδοι κατασκοπείας για τη μεταφορά κακόβουλου λογισμικού
Οι επιτιθέμενοι χρησιμοποίησαν γενικές μεθόδους για να «μολύνουν» τους στόχους τους, όχι μόνο μέσω του διαδικτύου αλλά και στο φυσικό κόσμο. Για το λόγο αυτό, χρησιμοποίησαν μια τεχνική αναχαίτισης, υποκλέπτοντας στοιχεία και αντικαθιστώντας τα με τις αντίστοιχες Trojan εκδοχές τους. Ένα τέτοιο παράδειγμα αφορούσε τη στοχοποίηση συμμετεχόντων σε επιστημονικό συνέδριο στο Χιούστον. Όταν επέστρεφαν στο σπίτι, μερικοί από τους συμμετέχοντες έλαβαν ένα αντίγραφο των υλικών του συνεδρίου σε CD-ROM, το οποίο στη συνέχεια χρησιμοποιήθηκε για την εγκατάσταση του Trojan «Double Fantasy» στη συσκευή του στόχου. Η ακριβής μέθοδος με την οποία έγιναν διαθέσιμα τα CD είναι άγνωστη.
ΔΙΑΒΟΗΤΟΙ ΦΙΛΟΙ: STUXNET ΚΑΙ FLAME
Υπάρχουν σοβαρές ενδείξεις που δείχνουν ότι το Equation Group έχει αλληλεπιδράσει με άλλες ισχυρές ομάδες, όπως με τους διαχειριστές των Stuxnet και Flame. Γενικά, η συγκεκριμένη ομάδα φαίνεται να βρισκόταν σε θέση υπεροχής σε σχέση με άλλους φορείς Το Equation Group είχε πρόσβαση σε zero-day απειλές, πριν ακόμα αυτές χρησιμοποιηθούν από το Stuxnet και το Flame. Σε κάποιο βαθμός, μοιράζονταν exploits με άλλους.
Για παράδειγμα, το 2008 το «Fanny» χρησιμοποιούσε δύο zero-day απειλές που εισήχθησαν στο Stuxnet τον Ιούνιο του 2009 και το Μάρτιο του 2010. Ένα από τα zero-days του Stuxnet ήταν στην πραγματικότητα μια μονάδα του Flame, η οποία εκμεταλλευόταν τα ίδια τρωτά σημεία και η οποία αποσπάστηκε κατ ‘ευθείαν από την πλατφόρμα του Flame και ενσωματώθηκε στο Stuxnet.
ΙΣΧΥΡΗ ΚΑΙ ΓΕΩΓΡΑΦΙΚΑ ΚΑΤΑΝΕΜΗΜΕΝΗ ΥΠΟΔΟΜΗ
Το Equation Group χρησιμοποιεί μια τεράστια C&C υποδομή που περιλαμβάνει περισσότερα από 300 domains και πάνω από 100 servers. Οι servers φιλοξενούνται σε πολλές χώρες, όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο, η Ιταλία, η Γερμανία, η Ολλανδία, ο Παναμάς, η Κόστα Ρίκα, η Μαλαισία, η Κολομβία και η Τσεχία. Η Kaspersky Lab σήμερα χρησιμοποιεί μεθόδους «sinkholing» για πάνω από 20 από τους 300 C&C servers.
ΧΙΛΙΑΔΕΣ ΥΨΗΛΟΥ ΠΡΟΦΙΛ ΘΥΜΑΤΑ ΠΑΓΚΟΣΜΙΩΣ
Από το 2001, το Equation Group έχει «μολύνει» χιλιάδες ή ίσως ακόμη και δεκάδες χιλιάδες θύματα σε περισσότερες από 30 χώρες. Τα θύματα βρίσκονται στους ακόλουθους τομείς: Κυβερνητικοί και διπλωματικοί οργανισμοί, Τηλεπικοινωνίες, Αεροναυπηγική, Ενέργεια, Πυρηνική έρευνα, Πετρέλαιο και Φυσικό Αέριο, Στρατιωτικοί Οργανισμοί και Νανοτεχνολογία. Επίσης, στράφηκε εναντία σε ισλαμιστές ακτιβιστές, επιστήμονες, Μέσα Μαζικής Επικοινωνίας, εταιρείες μεταφορών, χρηματοοικονομικά ιδρύματα και εταιρείες που αναπτύσσουν τεχνολογίες κρυπτογράφησης.
ΕΝΤΟΠΙΣΜΟΣ
Η Kaspersky Lab παρατήρησε επτά exploits που χρησιμοποιούνται από το Equation Group στο ομώνυμο κακόβουλο λογισμικό. Τουλάχιστον τέσσερα από αυτά χρησιμοποιήθηκαν ως zero-day απειλές. Επιπλέον, η παρατηρήθηκε η χρήση άγνωστων exploits, πιθανώς zero-day, με στόχο τον Firefox 17, με τον ίδιο τρόπο που αυτά χρησιμοποιούνται στον Tor browser.
Κατά το στάδιο της «μόλυνσης», η ομάδα έχει τη δυνατότητα να χρησιμοποιήσει δέκα exploits σε μια αλυσίδα. Ωστόσο, οι ειδικοί της Kaspersky Lab παρατήρησαν ότι δεν χρησιμοποιούνται περισσότερα από τρία. Αν το πρώτο δεν είναι επιτυχές, προσπαθούν με ένα άλλο, και στη συνέχεια με το τρίτο. Εάν και τα τρία exploits αποτύχουν, δεν «μολύνουν» το σύστημα.
Τα προϊόντα της Kaspersky Lab εντόπισαν έναν αριθμό προσπαθειών επίθεσης εναντίον χρηστών. Πολλές από αυτές τις επιθέσεις δεν ήταν επιτυχείς, χάρη στην τεχνολογία Automatic Exploit Prevention, η οποία εντοπίζει και εμποδίζει την εκμετάλλευση άγνωστων τρωτών σημείων. Το worm «Fanny» πιθανώς δημιουργήθηκε τον Ιούλιο του 2008, ενώ εντοπίστηκε για πρώτη φορά και εντάχθηκε στη μαύρη λίστα των αυτόματων συστημάτων της Kaspersky Lab το Δεκέμβριο του 2008.
[Δ.Τ. Kaspersky Lab]
