Εδώ και αρκετά χρόνια, η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της KasperskyLab έχει παρακολουθήσει στενά περισσότερους από 60 προηγμένους φορείς απειλών, οι οποίοι είναι υπεύθυνοι για ψηφιακές επιθέσεις σε όλο τον κόσμο.

 

 

 

 

 

Οι ειδικοί της εταιρείας έχουν δει σχεδόν τα πάντα, με τις επιθέσεις να γίνονται ολοένα και πιο πολύπλοκες, καθώς ακόμη και κράτη ενεπλάκησαν σε αυτές τις δραστηριότητες και προσπάθησαν να «εξοπλιστούν» με τα πιο προηγμένα εργαλεία. Ωστόσο, μόλις τώρα, οι ειδικοί της Kaspersky Lab μπόρεσαν να επιβεβαιώσουν ότι έχουν ανακαλύψει έναν φορέα απειλών, ο οποίος ξεπερνά οτιδήποτε γνωστό ως προς την πολυπλοκότητα και την εξειδίκευση των τεχνικών του. Μάλιστα, ο συγκεκριμένος φορέας είναι ενεργός εδώ και σχεδόν δύο δεκαετίες! Πρόκειται για την ομάδα Equation Group.

Σύμφωνα με τους ερευνητές της Kaspersky Lab, η ομάδα αυτή είναι μοναδική σχεδόν σε κάθε πτυχή των δραστηριοτήτων της. Χρησιμοποιεί ιδιαίτερα περίπλοκα και δαπανηρά στην ανάπτυξή τους εργαλεία, με σκοπό να «μολύνει» τα θύματα, να ανακτήσει δεδομένα και να κρύψει τη δραστηριότητα της με έναν εξαιρετικά επαγγελματικό τρόπο, αξιοποιώντας κλασικές τεχνικές κατασκοπείας, ώστε να μεταφέρει κακόβουλα φορτία στα θύματα.

Για να «μολύνει» τα θύματά της, η ομάδα αυτή χρησιμοποιεί ένα ισχυρό «οπλοστάσιο» με «εμφυτεύματα» (Trojans), συμπεριλαμβανομένων και των ακολούθων (βάσει ονομασιών που έχουν αποδοθεί από την Kaspersky Lab): Equation Laser, Equation Drug, Double Fantasy, Triple Fantasy, Fanny και Gray Fish. Χωρίς αμφιβολία, θα υπάρξουν και άλλα ενεργά «εμφυτεύματα» εκτός των προαναφερθέντων.

Τι καθιστά το Equation Group μοναδικό;

Απόλυτη επιμονή και απόκρυψη  

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab μπόρεσε να ανακτήσει δύο μονάδες, οι οποίες επιτρέπουν τον επαναπρογραμματισμό του firmware σκληρών δίσκων από περισσότερους από 12 δημοφιλείς κατασκευαστές. Αυτό είναι ίσως το πιο ισχυρό εργαλείο στο «οπλοστάσιο» του Equation Group και το πρώτο γνωστό κακόβουλο λογισμικό με την ικανότητα να «μολύνει» σκληρούς δίσκους.

«Ένας ιδιαίτερος κίνδυνος είναι ότι μόλις ο σκληρός δίσκος «μολυνθεί» με αυτό το κακόβουλο φορτίο, είναι αδύνατο να σκαναριστεί το firmware του. Για να το θέσω απλά: στους περισσότερους σκληρούς δίσκους υπάρχουν λειτουργίες για εγγραφή στην περιοχή του firmware, αλλά δεν υπάρχουν λειτουργίες για να διαβαστεί ξανά. Αυτό σημαίνει ότι είμαστε σχεδόν τυφλοί και δεν έχουμε τη δυνατότητα να εντοπίσουμε τους σκληρούς δίσκους που έχουν «μολυνθεί» από αυτό το κακόβουλο λογισμικό», προειδοποιεί ο Costin Raiu, Director της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.

Δυνατότητα ανάκτησης δεδομένων από μεμονωμένα δίκτυα

Το worm «Fanny» ξεχωρίζει από όλες τις επιθέσεις που πραγματοποιήθηκαν από το Equation Group. Ο κύριος σκοπός του ήταν να χαρτογραφεί δίκτυα με «air gap». Με άλλα λόγια, να κατανοεί την τοπολογία δικτύων που δεν είναι προσιτά και να εκτελεί εντολές σε αυτά τα μεμονωμένα συστήματα. Για το σκοπό αυτό, χρησιμοποιείται ένας μοναδικός μηχανισμός «command and control», ο οποίος βασίζεται σε USB και επέτρεπε στους επιτιθέμενους να μεταφέρουν δεδομένα από και προς τα δίκτυα με «air gap».

Ειδικότερα, ένα μη «μολυσμένο» USB stick με κρυφό αποθηκευτικό χώρο χρησιμοποιήθηκε για τη συλλογή βασικών πληροφοριών του συστήματος από έναν υπολογιστή που δεν ήταν συνδεδεμένος στο Internet, καθώς και για την αποστολή τους στον C&C μηχανισμό όταν το USB αυτό συνδέθηκε σε υπολογιστή που έχει προσβληθεί από το worm «Fanny» και βρισκόταν συνδεδεμένος στο Διαδίκτυο. Αν οι επιτιθέμενοι ήθελαν να εκτελέσουν εντολές σε δίκτυα με «air gap», θα μπορούσαν να αποθηκεύσουν τις εντολές στον κρυφό αποθηκευτικό χώρο του USB. Μόλις το USB συνδεόταν στον υπολογιστή με «air gap», το «Fanny» αναγνώριζε τις εντολές και τις εκτελούσε.

Κλασικές μέθοδοι κατασκοπείας για τη μεταφορά κακόβουλου λογισμικού

Οι επιτιθέμενοι χρησιμοποίησαν γενικές μεθόδους για να «μολύνουν» τους στόχους τους, όχι μόνο μέσω του διαδικτύου αλλά και στο φυσικό κόσμο. Για το λόγο αυτό, χρησιμοποίησαν μια τεχνική αναχαίτισης,  υποκλέπτοντας στοιχεία και αντικαθιστώντας τα με τις αντίστοιχες Trojan εκδοχές τους. Ένα τέτοιο παράδειγμα αφορούσε τη στοχοποίηση συμμετεχόντων σε επιστημονικό συνέδριο στο Χιούστον. Όταν επέστρεφαν στο σπίτι, μερικοί από τους συμμετέχοντες έλαβαν ένα αντίγραφο των υλικών του συνεδρίου σε CD-ROM, το οποίο στη συνέχεια χρησιμοποιήθηκε για την εγκατάσταση του Trojan «Double Fantasy»  στη συσκευή του στόχου. Η ακριβής μέθοδος με την οποία έγιναν διαθέσιμα τα CD είναι άγνωστη.

Διαβόητοι φίλοι: Stuxnet και Flame

Υπάρχουν σοβαρές ενδείξεις που δείχνουν ότι το Equation Group έχει αλληλεπιδράσει με άλλες ισχυρές ομάδες, όπως με τους διαχειριστές των Stuxnet και Flame. Γενικά, η συγκεκριμένη ομάδα φαίνεται να βρισκόταν σε θέση υπεροχής σε σχέση με άλλους φορείς Το Equation Group είχε πρόσβαση σε zero-day απειλές, πριν ακόμα αυτές χρησιμοποιηθούν από το Stuxnet και το Flame. Σε κάποιο βαθμός, μοιράζονταν exploits με άλλους. 

Για παράδειγμα, το 2008 το «Fanny» χρησιμοποιούσε δύο zero-day απειλές που εισήχθησαν στο Stuxnet τον Ιούνιο του 2009 και το Μάρτιο του 2010. Ένα από τα zero-days του Stuxnet ήταν στην πραγματικότητα μια μονάδα του Flame, η οποία εκμεταλλευόταν τα ίδια τρωτά σημεία και η οποία αποσπάστηκε κατ ευθείαν από την πλατφόρμα του Flame και ενσωματώθηκε στο Stuxnet.

Ισχυρή και γεωγραφικά κατανεμημένη υποδομή

Το Equation Group χρησιμοποιεί μια τεράστια C&C υποδομή που περιλαμβάνει περισσότερα από 300 domains και πάνω από 100 servers. Οι servers φιλοξενούνται σε πολλές χώρες, όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο, η Ιταλία, η Γερμανία, η Ολλανδία, ο Παναμάς, η Κόστα Ρίκα, η Μαλαισία, η Κολομβία και η Τσεχία. Η Kaspersky Lab σήμερα χρησιμοποιεί μεθόδους «sinkholing» για πάνω από 20 από τους 300 C&C servers.

Χιλιάδες υψηλού προφίλ θύματα παγκοσμίως

Από το 2001, το Equation Group έχει «μολύνει» χιλιάδες ή ίσως ακόμη και δεκάδες χιλιάδες θύματα σε περισσότερες από 30 χώρες. Τα θύματα βρίσκονται στους ακόλουθους τομείς: Κυβερνητικοί και διπλωματικοί οργανισμοί, Τηλεπικοινωνίες, Αεροναυπηγική, Ενέργεια, Πυρηνική έρευνα, Πετρέλαιο και Φυσικό Αέριο, Στρατιωτικοί Οργανισμοί και Νανοτεχνολογία. Επίσης, στράφηκε εναντία σε ισλαμιστές ακτιβιστές, επιστήμονες, Μέσα Μαζικής Επικοινωνίας, εταιρείες μεταφορών, χρηματοοικονομικά ιδρύματα και εταιρείες που αναπτύσσουν τεχνολογίες κρυπτογράφησης.

Εντοπισμός

Η Kaspersky Lab παρατήρησε επτά exploits που χρησιμοποιούνται από το Equation Group στο ομώνυμο κακόβουλο λογισμικό. Τουλάχιστον τέσσερα από αυτά χρησιμοποιήθηκαν ως zero-day απειλές. Επιπλέον, η παρατηρήθηκε η χρήση άγνωστων exploits, πιθανώς zero-day, με στόχο τον Firefox 17, με τον ίδιο τρόπο που αυτά χρησιμοποιούνται στον Tor browser.

Κατά το στάδιο της «μόλυνσης», η ομάδα έχει τη δυνατότητα να χρησιμοποιήσει δέκα exploits σε μια αλυσίδα. Ωστόσο, οι ειδικοί της Kaspersky Lab παρατήρησαν ότι δεν χρησιμοποιούνται περισσότερα από τρία. Αν το πρώτο δεν είναι επιτυχές, προσπαθούν με ένα άλλο, και στη συνέχεια με το τρίτο. Εάν και τα τρία exploits αποτύχουν, δεν «μολύνουν» το σύστημα.

Τα προϊόντα της Kaspersky Lab εντόπισαν έναν αριθμό προσπαθειών επίθεσης εναντίον χρηστών. Πολλές από αυτές τις επιθέσεις δεν ήταν επιτυχείς, χάρη στην τεχνολογία Automatic Exploit Prevention, η οποία εντοπίζει και εμποδίζει την εκμετάλλευση άγνωστων τρωτών σημείων. Το worm «Fanny» πιθανώς δημιουργήθηκε τον Ιούλιο του 2008, ενώ εντοπίστηκε για πρώτη φορά και εντάχθηκε στη μαύρη λίστα των αυτόματων συστημάτων της Kaspersky Lab το Δεκέμβριο του 2008.

Περισσότερες πληροφορίες σχετικά με το Equation Group είναι διαθέσιμες στο Securelist.com.

  • Βάσει της κατάταξης “Worldwide Endpoint Security Revenue by Vendor” της IDC για το 2013. Η κατάταξη περιλαμβάνεται στην έκθεση “Worldwide Endpoint Security 2014 –2018 Forecast and 2013 Vendor Shares” της IDC (IDC 250210, August 2014). Η έκθεση περιελάμβανε την κατάταξη παρόχων λογισμικού σύμφωνα με τα κέρδη από τις πωλήσεις λύσεων ασφάλειας υπολογιστών το 2013