Najbardziej zaawansowana operacja hakerska w historii

[KopalniaWiedzy.pl 314]

Przed 6 laty grupa znanych naukowców otrzymała pocztą płyty CD z materiałami z konferencji naukowej w Houston, w której wczesniej uczestniczyli. Na płytach, o czym naukowcy nie wiedzieli, znajdował się szkodliwy kod. Wgrali go członkowie zespołu Equation Group, którzy przechwycili płyty w czasie, gdy były one przewożone przez pocztę. Sześć lub siedem lat wcześniej ta sama grupa w podobny sposób zainfekowała płyty z oprogramowaniem bazodanowym Oracle'a. Firma Kaspersky, która opublikowała raport o organizacji nazwanej przez siebie Equation Group, udokumentowała około 500 infekcji dokonanych przez tę grupę na całym świecie. Equation Group, która działa od co najmniej 2001 roku najwięcej ofiar zaraziła w Iranie, Rosji, Pakistanie, Afganistanie, Indiach, Chinach, Syrii i Mali. Dokonała też ataków w Wielkiej Brytanii, Jemenie, Libanie, Algierii, Libii, Katarze czy Meksyku. Jako, że w szkodliwy kod wbudowywała mechanizm samoniszczący, liczba jej ofiar jest wielokrotnie większa od tej, którą udało się wykryć. Equation Group atakowała cele rządowe, wojskowe, firmy telekomunikacyjne, uczelnie wyższe, sektor finansowy, placówki dyplomatyczne, sektor energetyczny czy islamskich radykałów.

O Equation Group wiadomo, że wykorzystuje niezwykle zaawansowane techniki. Zdaniem Kaspersky Lab prowadzi ona najbardziej zaawansowane ataki, jakie kiedykolwiek udało się wykryć. Wiadomo, że wykorzystuje wirtualne systemy plików, takie, jakie znaleziono w oprogramowaniu Regin. Z danych dostarczonych przez Edwarda Snowdena wiemy, iż Regin zostało użyte przez NSA do ataku na belgijską firmę Belgacom. Szkodliwe oprogramowanie Equation Group ukrywa się w formie zaszyfrowanych plików w różnych miejscach rejestru Windows, przez co jest niemożliwe do wykrycia przez oprogramowanie antywirusowe. Hakerzy z Equation przekierowywali użytkowników iPhone'ów na wybrane przez siebie maszyny, infekowali ich komputery, co pozwalało im na zarażanie urządzeń korzystających z systemów iOS oraz OS X, korzystali z oprogramowania na klipsach USB, dzięki któremu monitorowali superbezpieczne sieci odizolowane od internetu, udało im się też znaleźć i wykorzystać dziurę w najnowszych wersjach Windows, dzięki czemu spowodowali – pomimo braku odpowiednich kluczy cyfrowych – że ich szkodliwe oprogramowanie było wykonywane na poziomie jądra.

Moim zdaniem Equation Group ma najbardziej zaawansowane narzędzia hakerskie na świecie. Udostępnili je twórcom Stuxneta i Flame'a, ale to ich narzędzia. Equation Group to mistrzowie, innym udostępniają jedynie okruchy tego, czym dysponują. Od czasu do czasu pozwalają na zintegrowanie niektórych swoich narzędzi z takim kodem jak Stuxnet i Flame - mówi Costin Raiu, dyrektor ds. badań i analiz w Kaspersky Lab.

Po tym, co przeczytaliśmy, możemy dojść do podobnych wniosków, że Equation Group działa w ramach NSA lub innej amerykańskiej agencji, chociaż przedstawiciele Kaspersky nie wskazują na żadną z nich. Dowodami, przemawiającymi za takim scenariuszem są, m.in., możliwość przechwytywania wysyłanych pocztą urządzeń (np. routerów) i instalowania tam szkodliwego firmware'u, wykorzystywanie wysoce zaawansowanego keyloggera, którego ukryta w kodzie źródłowym nazwa „Grok” jest identyczna z nazwą keyloggera, który pojawia się w dokumentach Snowdena. Po trzecie, w kodzie źródłowym Equations Group znaleziono odniesienia do nazw „STRAITACID” i „STRAITSHOOTER”, które przypominają „STRAITBIZARRE”, czyli nazwę jednej z najbardziej zaawansowanych platform wykorzystywanych przez jednostkę Tailored Access Operations. Wiadomo też, że w 2008 roku grupa wykorzystała cztery błędy typu zero-day. Dwa z nich zostały później użyte przez robaka Stuxnet.

Te i inne ślady wskazują, że Equation Group ma do swojej dyspozycji olbrzymie zasoby. Dość wspomnieć, że jedna z platform tej grupy potrafi po zainfekowaniu komputera zmodyfikować firmware twardego dysku. Atak działa m.in. na dyski Western Digital, IBM-a, Maxtora, Samsunga, Microna, Toshiby i Seagete'a. Zmodyfikowany firmware tworzy na zainfekowanych dyskach ukrytą partycję, której nie można zlikwidować nawet używając wykorzystywanych przez wojsko technik czyszczenia i reformatowania dysku twardego. Oznacza to, że dane przechowywane na takiej partycji pozostają nietknięte nawet po przeprowadzeniu nowego podziału na partycje i przeinstalowaniu systemu operacyjnego. Wspomniane firmware wyposażono też w interfejsy programistyczne dające dostęp do dysku innym platformom Equation Group. Ci ludzie wykonali niezwykle skomplikowane zadanie i to w odniesieniu do dysków twardych różnych producentów. To niezwykle niebezpieczne, gdyż jeśli ten kod zainfekuje twardy dysk, to nie jest możliwe skanowanie firmware'u urządzenia oprogramowaniem antywirusowym. Po prostu nie można tego zrobić - mówi Raiu.

Po publikacji raportu Kaspersky'ego Reuters doniósł, że jeden z byłych pracowników NSA potwierdził, iż agencja ma możliwość modyfikowania firmware'u dysków twardych.

Jedną z cech szkodliwego oprogramowania opracowanego przez Equation Group jest jego niezwykła precyzja, dzięki której infekowane są tylko konkretne cele. W jednym ze skryptów PHP odkryto na przykład polecenie, by infekować tylko cele podpisane konkretnymi sumami kontrolnymi oraz nie infekować celów łączących się z Jordanii, Turcji i Egiptu. Mimo, że z zainfekowaną witryną łączyły się komputery, które nie spełniały tego wymogu, nie były one infekowane, co wskazuje, że dodatkowe mechanizmy filtrowania użyte przez Equation Group poszukiwały konkretnych komputerów. W zapisanych w szkodliwym oprogramowaniu adresach często pojawiają się sumy kontrolne wskazujące, że do infekcji ma dojść dopiero wówczas, gdy do konkretnej witryny będzie logował się użytkownik posługujący się konkretnym hasłem.

Specjalistom z Kaspersky Lab udało się zidentyfikować co najmniej sześć różnych rodzin programów używanych przez Equation Group. Są to EquationLaser (z lat 2001-2004), trojan DoubleFantasy, EquationDrug/Equestre czyli platforma składająca się z 35 modułów i 18 sterowników, jedna z dwóch platform zdolnych do modyfikacji firmware'u HDD, tworzenia wirtualnych systemów plików i ukrytych partycji. Do infekcji EquationDrug dochodziło po wcześniejszej infekcji DoubleFantasy i potwierdzeniu, że mamy do czynienia z wyznaczonym celem. W 2013 roku platforma EquationDrug została zamknięta na rzecz bardziej zaawansowanej GrayFish. Ta z kolei to najbardziej zaawansowana z platform Equation Group. Szkodliwy kod jest przechowywany w rejestrze i działa na zasadzie bootkita. GrayFish potrafi modyfikować firmware dysków 12 producentów i omijać podpisy cyfrowe, by działać na poziomie jądra Windows. Platforma jest tak zaawansowana, że dotychczas badacze Kaspersky Lab rozumieją jedynie jej niewielką część. Przypuszczają, że zasadniczą częścią platformy jest wspomniany bootkit, który pozwala precyzyjnie kontrolować start systemu Windows na każdym jego etapie. Po zarażeniu komputer tak naprawdę nie kontroluje już sam siebie. Jest całkowicie kontrolowany przez GrayFish, która na bieżąco wprowadza w nim wszelkie potrzebne zmiany - czytamy w raporcie Kaspersky'ego.

Kolejna platforma to Fanny, wyspecjalizowana w śledzeniu sieci odizolowanych od sieci zewnętrznych.

Na szczęście dla badaczy, w Equation Group pracują ludzie, a ci popełniają błędy. Mimo, że niewątpliwie stanowią hakerską elitę, to właśnie te błędy pozwoliły firme Kaspersky na przeanalizowanie pracy grupy na przestrzeni ostatnich 14 lat. Kaspersky wpadła na trop Equation Group w marcu ubiegłego roku, analizując kod, który zainfekował Belgacom i kilka innych fim. Dzięki tej analizie natrafiono na znajdujący się na Bliskim Wschodzie serwer nazwany „Magnet of Threats”, który zawierał pięć wysoko zaawansowanych szkodliwych programów. Eksperci nigdy wcześniej nie widzieli tych programów, nic zatem dziwnego, że bliżej się nimi zainteresowali. Trwające wiele miesięcy śledztwo pokazało m.in. że nawet wysokiej klasy specjaliści popełniają banalne błędy. Najwięcej o działaniach Equation Group dowiedziano się dzięki temu, że jej członkowie nie odnowili dzierżawy około 20 z około 300 domen internetowych używanych podczas ataków. Przedstawiciele Kaspersky'ego szybko zarejestrowali te domeny i użyli ich do analizy sposobu pracy Equation Group i jej oprogramowania. Co ciekawe, wśród takich opuszczonych domen jest jedna, którą Equation Group przestała wykorzystywać około 2003 roku. Domena ta była używana do zbierania danych od ofiar ataku EquationLasera. Jednak w 2003 roku oprogramowanie antywirusowe zaczęło blokować wykrywanie tego złośliwego kodu, zatem EquationLaser przestał być wykorzystywany. Equation Group przez całe lata wykorzystywała jednak wspomnianą domenę, aż pewnego dnia nie została ona zarejestrowana. Gdy eksperci Kaspersky szybko ją zarejestrowali, okazało się, że domena wciąż otrzymuje dane z kompuerów, które zostały zainfekowane EquationLaserem 11 lat wcześniej.

« powrót do artykułu

[thikim 117]

Nie ma to jak wejść na Czomolungme i złamać nogę przy pierwszym kroku w czasie powrotu.