Expertii Kaspersky Lab au descoperit predecesorul programelor Stuxnet si Flame – cel mai periculos malware ca tehnici si instrumente utilizate


kaspersky2-logo                 Expertii Kaspersky Lab din cadrul echipei Global Research and Analysis Team (GReAT) monitorizeaza cu atentie, de ani de zile, peste 60 de grupuri de atacatori responsabile de multe dintre amenintarile cibernetice avansate la nivel global. Insa, abia acum, cercetatorii Kaspersky Lab pot confirma ca au descoperit o grupare mult mai evoluata decat tot ce a fost descoperit anterior – Equation Group, care este activa de aproape doua decenii.

Incepand cu 2001, Equation Group a infectat mii sau zeci de mii de victime din peste 30 de tari la nivel global, vizand tinte din urmatoarele sectoare: institutii guvernamentale si diplomatice, telecomunicatii, industria aeronautica, energie, cercetare nucleara, industria de petrol si gaze, armata, industria nanotehnologiei, activisti si studenti islamici, presa, transporturi, institutii financiare si companii care dezvolta tehnologii de criptare.

Grupul Equation utilizeaza o infrastructura complexa de comanda si control (C&C) care include peste 300 de domenii si peste 100 de servere. Serverele sunt gazduite in mai multe tari, printre care se numara: SUA, Marea Britanie, Italia, Germania, Olanda, Panama, Costa Rica, Malaesia, Columbia si Republica Ceha. In prezent, expertii Kaspersky Lab au preluat controlul asupra a catorva zeci de servere de comanda si control (C&C) din cele 300 descoperite.

Pentru a infecta victimele, infractorii cibernetici utilizeaza un arsenal puternic de malware. Echipa GReAT a recuperat doua module care permit atacatorilor sa reprogrameze firmware-ul din hard disk-urile mai multor dezvoltatori cunoscuti. Acesta este probabil cel mai puternic instrument utilizat de grupul Equation, fiind primul malware care poate infecta hard disk-uri.

Prin reprogramarea firmware-ului de pe HDD (rescrierea sistemului de operare intern al hard disk-ului), grupul Equation atinge doua obiective:

  1. Dobandirea de acces persistent, nefiind influentat de formatarea hard disk-ului sau de reinstalarea sistemului de operare. Daca malware-ul infecteaza firmware-ul, poate fi activ la infinit si poate preveni stergerea unui anumit segment al disk-ului sau il poate inlocui cu un segment periculos in timpul pornirii sistemului.

 

„Atunci cand hard disk-ul este infectat cu acest malware, este imposibil ca aceasta infectie a firmware-ului sa fie identificata,” a declarat Costin Raiu, Director Global Research and Analysis Team din cadrul Kaspersky Lab. „Pe scurt, pentru cele mai multe hard disk-uri exista mecanisme care pot scrie in zona firmware-ului, dar nu exista mecanisme care le pot citi. Acest lucru inseamna ca suntem practic orbi si nu putem detecta hard disk-urile infectate cu acest malware,” a explicat Costin Raiu.

 

  1. Abilitatea de a dezvolta o zona invizibila pe hard disk, care sa fie utilizata pentru a stoca informatii confidentiale, pe care atacatorii le pot extrage ulterior. De asemenea, in anumite situatii, aceasta zona invizibila poate ajuta gruparea de atacatori sa captureze parola folosita de utilizator pentru criptareea HDD-ului.

 

„Luand in considerare faptul ca implantul GrayFish este activ inca din momentul de boot al sistemului, infractorii cibernetici au posibilitatea sa intercepteze parola folosita pentru criptare si sa o salveze in aceasta zona invizibila,” a avertizat Costin Raiu.

Pe langa acestea, atacatorii din gruparea Equation se evidentiaza prin utilizarea viermelui Fanny. Acesta are capabilitatea de a cartografia structura retelelor air-gapped, si anume deconectate de la internet, folosite de obicei in infrastructuri critice, cu scopul final de a le permite atacatorilor executia de comenzi pe aceste sisteme critice. Astfel, gruparea de atacatori utiliza un mecanism unic de control si comanda care le permitea sa faca schimb de date cu aceste retele izolate.

In plus, atacatorii utilizau stick-uri USB infectate care aveau un segment invizibil pentru stocare, pentru a colecta informatii de baza despre sistem de la computerele care nu erau conectate la internet. Ulterior, datele erau trimise la sistemul de comanda si control atunci cand stick-ul USB era conectat la un computer infectat cu Fanny si cu acces la internet. In cazul in care atacatorii intentionau sa ruleze comenzi in retelele fara conexiune la internet, ei le puteau stoca in zona invizibila a stick-ului USB. In momentul in care stick-ul era conectat la computerul fara conexiune la internet, malware-ul Fanny recunostea comenzile respective si le executa.

Mai mult, expertii Kaspersky Lab au descoperit informatii care indica faptul ca grupul Equation interactiona cu alte grupari periculoase, precum operatorii Stuxnet si Flame. Grupul Equation avea acces la exploit-urile de tip zero-day inainte ca acestea sa fie utilizate de Stuxnet si Flame si le impartasea cu alte grupuri de atacatori. De exemplu, in 2008, Fanny utiliza deja doua exploit-uri zero-day, integrate in Stuxnet abia in iunie 2009 si in martie 2010. Unul dintre aceste exploit-uri zero-day era de fapt un modul Flame care exploata aceeasi vulnerabilitate si care a fost preluat direct din platforma Flame pentru a fi integrat in Stuxnet.

Expertii Kaspersky Lab au observat sapte exploit-uri utilizate de grupul Equation, dintre care cel putin patru au fost utilizate ca exploit-uri zero-day. In plus, expertii Kaspersky Lab au observat si utilizarea unor exploit-uri necunoscute, posibil de tip zero-day, folosite impotriva Firefox 17 folosit in Tor Browser Bundle.

In timpul procesului de infectare, grupul putea utiliza pana la zece exploit-uri in lant. Totusi, expertii Kaspersky Lab au observat ca atacatorii nu folosesc de obicei mai mult de trei exploit-uri: daca primul nu are succes, atacatorii incearca al doilea si al treilea exploit. Daca toate esueaza, sistemul nu va mai fi infectat.

Produsele Kaspersky Lab au detectat mai multe tentative de atac asupra utilizatorilor sai, iar multe dintre acestea au fost blocate cu succes de tehnologia Automatic Exploit Prevention care detecteaza si blocheaza exploatarea vulnerabilitatilor necunoscute in aplicatii software. Viermele Fanny, compilat in 2008, a fost detectat si inclus in baza de date Kaspersky Lab in decembrie 2008.

17 februarie 2015 – Kaspersky Lab Romania

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s