A
Anonymous
Raport Kaspersky Lab:Wczoraj firma Kaspersky Lab opublikowała obszerny raport na temat grupy cyberszpiegów o nazwie Equation. Jak zwykle w takich przypadkach, jest to nazwa nadana grupie przez firmę. Equation dysponowała bardzo zaawansowanymi narzędziami i prowadziła swoje działania przynajmniej od roku 2001. Badacze sądzą, że mogła działać nawet od 1996 roku, choć to już nie jest całkiem pewne.
Siedziba Agencji Bezpieczeństwa Narodowego w Fort Meade w stanie Maryland
Źródło zdjęcia: wikipedia.org
Czy Equation to NSA? Oto jest pytanie
Czy Equation ma związek z amerykańską agencją NSA? W niektórych gazetach już możemy przeczytać, że tak właśnie jest. Reuters pisze, że „rosyjscy badacze wykryli przełomowy amerykański program szpiegowski”. Podkreślić należy jednak, że firma Kaspersky Lab nie ma całkowitej pewności i nie łączy wprost działań grupy Equation z amerykańską agencją. Badacze przyznali, że jedno z narzędzi stosowanych przez Equation wykorzystuje eksploity wykryte później w zaawansowanym szpiegowskim narzędziu Stuxnet. Jest też kilka innych podobieństw pomiędzy narzędziami stosowanymi przez Equation i NSA, a poza tym niektóre osiągnięcia grupy Equation wskazują na to, że grupa ta mogła przechwytywać przesyłki pocztowe w drodze do ofiary. Coś takiego robiła właśnie NSA.
Jednym z dowodów na to, że Equation Group to NSA jest odnalezienie w jednym z komponentów rządowego keyloggera słowa GROK, które pokrywa się z katalogiem „zabawek NSA”, który zostały opisane w 2013 roku. Z kolei inne z produktów opisanych w katalogu, choć ich nazwy nie występują bezpośrednio w analizowanym kodzie, to wprost odpowiadają jego funkcjom. Dodatkowo, Kaspersky z kodu wyłuskał nowe nazwy kodowe, które do tej pory nie zostały nigdzie opisane: SKYHOOKCHOW, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER. W raporcie Kaspersky Lab wymieniono m.in. nazwy narzędzi używanych przez Equation (GRAYFISH, FANNY, DOUBLEFANTASY i in.). Kolejne rozdziały opisują szczegółowo te narzędzia.
Skąd Equation (NSA) miało kod źródłowy dyskowego firmware?
Na wstępie warto zauważyć, że w ostatnich 5 latach liczba krajów, które produkują dyski twarde, skurczyła się z trzech (koreański Samsung, japońskie Hitachi oraz amerykańskie WD i Seagate) do jednego - pozostali tylko amerykańscy producenci, ponieważ Azjaci w międzyczasie zostali pochłonięci przez wywodzące się z USA jednostki zależne typu HGST (Hitachi Global Storage Technologies) - dyski twarde wypełnione helem. Zdaniem Kaspersky, amerykańska Agencja Bezpieczeństwa Narodowego (NSA) wykorzystuje tę centralizację produkcji dysków twardych i umieszcza w produktach WD oraz Seagate szpiegowskie oprogramowanie. To dawać ma agencji bezpośredni dostęp do naszych danych, systemu plików, systemu operacyjnego, itd.
Kasperski odnalazł 500 zainfekowanych przez Equation komputerów w 42 różnych krajach na całym świecie — ale ponieważ działanie grupy rozciąga się na przestrzeni 14 lat, można domyślać się, że faktycznie ofiar było znacznie więcej. Celem ataku głównie są dyplomaci i operatorzy telekomunikacyjni z krajów takich jak Iran, Rosja czy Afganistan, Pakistan i Chiny. I choć malware znaleziono także na komputerach w Belgii, Wielkiej Brytanii i USA, to maszyny te należą głównie do znanych islamskich ekstremistów. Kaspersky podaje, że komputery z jednym lub większą ilością takiego szpiegującego oprogramowania znalazł w trzydziestu krajach, a większość zainfekowanych nośników pochodziła z Iranu, Rosji, Pakistanu, Afganistanu, Chin, Mali, Syrii, Jemenu oraz Algierii.
Mapa zainfekowanych komputerów przez grupę Equation
Źródło: kaspersky.com
Co więcej, firma twierdzi, że wykorzystywane jest ono do szpiegowania obcych rządów, organizacji militarnych, firm telekomunikacyjnych, banków, badań nuklearnych, mediów czy aktywności islamistów. Kaspersky odmówiło podania nazwy producenta tego programu, ale wskazuje, że jest on blisko związany ze stworzeniem Stuxnet, czyli wirusa, który wykorzystywany był przez NSA do destabilizacji irańskich fabryk do wzbogacania uranu.
Według Reutersa, doniesienia Kasperskiego są wiarygodne — rewelacje z raportu dla agencji prasowej skomentowali i potwierdzili pracownicy NSA, wskazując, że w istocie chodzi o „ich zabawki”. Komentarza udzielili jednak nieoficjalnie, bo oficjalnie rzecznik NSA milczy. Firmy produkujące dyski nie pomagają w wyjaśnieniu tej zagadki. IBM ignoruje pytania dziennikarzy, Toshiba i Samsung odmówiły komentarza, a Western Digital i Seagate oraz Micron oświadczyły, że o całej operacji nie miały pojęcia. Niektórzy sugerują, że amerykański rząd zdobył kod po prostu o niego prosząc, a prośbę swoją motywując chęcią wprowadzenia danych dysków do użycia w Pentagonie — w takich przypadkach zazwyczaj standardową procedurą jest dostarczenie przez producenta kodu źródłowego w celu audytu.
GrayFish, czyli backdoorowanie firmware’u dysków twardych
Podmiana firmware’u polega na ukryciu złośliwego kodu na dysku w taki sposób, aby mógł on przetrwać jego formatowanie, aby następnie go zainfekować, nawet po reinstalacji systemu operacyjnego. Architektura GrayFisha jest wielopoziomowa. Jego komponenty, zaszyfrowane, rezydują w kluczach rejestru Windows. To sprawia że są praktycznie niewidzialne dla oprogramowania antywirusowego. GrayFish zacznie działać tylko, jeśli został osadzony na konkretnym komputerze (dane z komputera składają się na klucz, który rozpoczyna wielostopniowy proces rozszyfrowywania komponentów trojana). W ten sam sposób działał Gauss.
Nowy program jest podobno niemal perfekcyjnie zaprojektowany - za każdym razem, kiedy włączamy nasz PC, BIOS ładuje firmware wszystkich komponentów hardware’u na pamięć systemową, nawet przed załadowaniem się OS i w tym momencie uaktywnia się malware, zyskując tym samym dostęp do kluczowych komponentów systemu, w tym sieci i systemu plików.
Działanie GrayFisha
Źródło: kaspersky.com
Co teraz robi Euqation?
Co ciekawe, raport Kaspersky Lab nie wspomina o żadnych nowych atakach grupy Equation. Nie znaleziono śladów działania grupy w roku 2014. Trudno uwierzyć w to, że tajemnicza grupa zawiesiła działalność. Prawdopodobnie działa ona dalej i stosuje lepsze metody. Trzeba też podkreślić, że raport Kaspersky Lab opisuje tylko zidentyfikowane przypadki działań tej grupy i zapewne nie jest to jedyna taka grupa. Nawet jeśli Equation faktycznie ma związek z NSA, to błędem byłoby zakładanie, że wywiady innych państw nie próbują czegoś podobnego. Możliwe, że istnieje całe mnóstwo szkodników tworzonych na zlecenie państw, a to, co widzimy, to wierzchołek góry lodowej.
Infekcja przez konferencyjne CD z 0day’ami
Kaspersky w raporcie opisuje ciekawą historię infekcji jednego z naukowców, który wybrał się na konferencję do Houston w 2009. Nie pada ani nazwisko naukowca, ani obszar jego badań — Kaspersky dowcipnie nazywa go Grzegorzem Brzęczyszczykiewiczem (ze względu na zamiłowanie grupy Equation do szyfrowania). Po konferencji na adres domowy naukowca wysłano CD z materiałami. Płyta zawierała zdjęcia z konferencji …i 3 exploity, z czego 2 były 0-day’ami. Nie jest jasne, jak NSA zainfekowała płytę wysyłaną naukowcowi, ale z wycieków Snowdena wiemy, że agenci posiadają specjalną jednostkę, która zajmuje się przechwytywaniem paczek, rozpakowywaniem ich i infekowaniem poszczególnych komponentów. Wszystko po to, aby „fabrycznie nowy sprzęt” dotarł do ofiary już zainfekowany.
Na koniec warto zaznaczyć, że USA nie jest jedynym krajem, który stosuje powyższe technik. Po prostu z racji mnogości i skali prowadzonych przez siebie operacji jest najbardziej widocznym… Rosjanie np. też wręczają zainfekowane pendrive’y na konferencjach.
Źródło: kaspersky.com, niebezpiecznik.pl, di.com.pl
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
. Analogicznie bardzo dobrze,że był Hitler i żydzi,Stalin,Mao Tse-tung,Pol Pot i ofiary komunizmu.
.
wołali: "komuno wróć" (czyt. Hitler, Stalin, Mao Tse-tung, Pol Pot...).
.
