Kaspersky explică spionajul hard disk-urilor: Am descoperit poate cea mai dezvoltată grupare

Ieri, „Playtech“ te informa cu privire la spionajul informatic practicat de americani prin hard disk-uri. Kaspersky nu acuză direct NSA, dar informează despre Equation Group, o grupare mult mai evoluată decât tot ce a fost descoperit până în prezent, activă de aproape două decenii și care are astfel de resurse la îndemână.

Kaspersky și alți experți în securitate cibernetică, în afara primelor informații furnizate de fostul consultant NSA Edward Snowden, nu au acuzat direct NSA, dar această companie explică pe larg cine este gruparea care poate controla hard disk-urile și informațiile despre acestea.

Grupul Equation utilizează o infrastructură complexă de comandă și control (C&C), care include peste 300 de domenii și peste 100 de servere. Serverele sunt găzduite în mai multe țări, printre care se numără: SUA, Marea Britanie, Italia, Germania, Olanda, Panama, Costa Rica, Malaesia, Columbia și Republica Cehă. În prezent, experții Kaspersky Lab au preluat controlul asupra câtorva zeci de servere de comandă și control din cele 300 descoperite.

Încă din 2001, Equation Group a infectat mii spre zeci de mii de victime din peste 30 de țări la nivel global. Țintele vizate de această grupare au fost instituții guvernamentale și diplomatice, de telecomunicații, din industria aeronautică, din energie și cercetare nucleară, dar și din industria de petrol și gaze. Nici armata, industria nanotehnologiei, activiști și studenți islamici, presă ori transporturi n-au scăpat de Equation. Grupare s-a concentrat și pe instituții financiare și companii care dezvoltă tehnologii de criptare.

Pentru a infecta victimele, infractorii cibernetici utilizează un arsenal puternic de malware. Specialiștii în securitate cibernetică au recuperat două module care permit atacatorilor să reprogrameze firmware-ul din hard disk-urile mai multor dezvoltatori cunoscuți. Acesta este probabil cel mai puternic instrument utilizat de grupul Equation, fiind primul malware care poate infecta hard disk-uri.

Ce face Equation prin rescrierea sistemului de operare al hard disk-ului

În primul rând, își asigură dobândirea de acces permanent, nefiind influențat de formatarea hard disk-ului sau de reinstalarea sistemului de operare. Dacă malware-ul infectează firmware-ul, poate fi activ la infinit și poate preveni ștergerea unui anumit segment al disk-ului sau îl poate înlocui cu un segment periculos în timpul pornirii sistemului.

Atunci când hard disk-ul este infectat cu acest malware, este imposibil ca această infectie a firmware-ului să fie identificată. Pentru cele mai multe hard disk-uri există mecanisme care pot scrie în zona firmware-ului, dar nu există mecanisme care le pot citi. Acest lucru înseamnă că suntem practic orbi și nu putem detecta hard disk-urile infectate cu acest malware.

Costin Raiu, director global Research and Analysis Team din cadrul Kaspersky Lab.

Pentru Equation e, apoi, vorba de abilitatea de a dezvolta o zonă invizibilă pe hard disk, care să fie utilizată pentru a stoca informații confidențiale, pe care atacatorii le pot extrage ulterior. De asemenea, în anumite situații, această zonă invizibilă poate ajuta gruparea de atacatori să captureze parola folosita de utilizator pentru criptarea HDD-ului.

Mai mult, atacatorii din gruparea Equation folosesc viermele Fanny. Aceasta are capabilitatea de a cartografia structura rețelelor air-gapped, si anume deconectate de la Internet, folosite de obicei in infrastructuri critice, cu scopul final de a le permite atacatorilor executia de comenzi pe aceste sisteme critice. Astfel, gruparea de atacatori utiliza un mecanism unic de control și comandă care le permitea să facă schimb de date cu aceste rețele izolate.

Stick-urile USB infectate sunt un pericol real

În plus, atacatorii utilizau stick-uri USB infectate care aveau un segment invizibil pentru stocare, pentru a colecta informații de bază despre sistem de la computerele care nu erau conectate la Internet. Ulterior, datele erau trimise la sistemul de comandă și control atunci când stick-ul USB era conectat la un computer infectat cu Fanny si cu acces la Internet. În cazul în care atacatorii intenționau să ruleze comenzi în rețelele fără conexiune la internet, ei le puteau stoca în zona invizibilă a stick-ului USB. În momentul în care stick-ul era conectat la computerul fără conexiune la Internet, malware-ul Fanny recunoștea comenzile respective și le executa.

Mai mult, experții Kaspersky Lab au descoperit informații care arată că grupul Equation interacționa cu alte grupări periculoase, precum operatorii Stuxnet și Flame. Grupul Equation avea acces la exploit-urile de tip zero-day înainte ca acestea să fie utilizate de Stuxnet și Flame și le împărtășea cu alte grupuri de atacatori.

De exemplu, în 2008, Fanny utiliza deja două exploit-uri zero-day, integrate în Stuxnet abia în iunie 2009 și în martie 2010. Unul dintre aceste exploit-uri zero-day era de fapt un modul Flame care exploata aceeași vulnerabilitate și care a fost preluat direct din platforma Flame pentru a fi integrat în Stuxnet. Mai mult, au fost identificate și exploit-uri necunoscute, posibil de tip zero-day, folosite împotriva Firefox 17 utilizat în browser-ul Tor.

În timpul procesului de infectare, grupul putea utiliza până la zece exploit-uri în lanț. Totuși, experții Kaspersky Lab au observat că atacatorii nu folosesc de obicei mai mult de trei exploit-uri: dacă primul nu are succes, atacatorii încearcă al doilea și al treilea exploit. Dacă toate eșuează, sistemul nu va mai fi infectat. Toate informațiile sunt disponibile pe acest site. Viermele Fanny, compilat în 2008, a fost detectat și inclus în baza de date Kaspersky Lab în decembrie 2008.