Novinky

Kaspersky Lab odhalil dokonalý špionážny softvér Equation - predchodcu červov Stuxnet a Flame


Tím analytikov spoločnosti Kaspersky Lab odhalil skupinu stojacu za komplexným a sofistikovaným špionážnym útokom - The Equation Group. Tá bola aktívna takmer dve desaťročia a od roku 2001 infikovala tisíce a možno aj desaťtisíce obetí vo viac ako 30 krajinách po celom svete. Medzi napadnutými boli vládne a diplomatické inštitúcie, telekomunikačné spoločnosti, letecký a energetický sektor, jadrový výskum, petrolejársky priemysel, armáda, odvetvie nanotechnológií, islamskí aktivisti a učenci, médiá, dopravný sektor, finančné inštitúcie a spoločnosti vyvíjajúce šifrovacie technológie. Skupina Equation (po slovensky rovnica) využíva rozsiahlu kontrolnú infraštruktúru C & C, ktorá zahŕňa vyše 300 domén a viac než 100 serverov. Tieto servery sa nachádzajú v mnohých krajinách, vrátane USA, Veľkej Británie, Talianska, Nemecka, Holandska, Panamy, Kostariky, Malajzie, Kolumbie a Českej republiky. Kaspersky Lab niekoľko desiatok serverov v súčasnosti monitoruje pomocou "sinkholingu". Na infikovanie obetí využíva skupina silný a moderný arzenál malvéru. Analytici boli schopní získať dva moduly, ktoré umožňujú preprogramovať firmvér viac než desiatky známych značiek pevných diskov. Ide zrejme o vôbec prvý známy malvér schopný infikovať priamo pevné disky. Preprogramovaním firmvéru harddiskov (teda prepisom ich operačného systému), dosiahla skupina nasledujúce dva ciele: 1) Vysokú úroveň odolnosti, ktorá pomáha malvéru prekonať aj naformátovanie disku a reinštaláciu operačného systému. Ak sa malvér dostane do firmvéru HDD, môže sa nekonečne obnovovať. Vie totiž zabrániť zmazaniu určitého oddielu alebo jeho nahradenie škodlivým kódom počas obnovenia systému. „Keď je harddisk infikovaný, nie je možné jeho firmvér skenovať. Sme prakticky slepí a nemôžeme odhaliť napadnuté pevné disky,“ varuje šéf analytikov Kaspersky Lab Costin Raiu. 2) Schopnosť tvorby neviditeľných a odolných oblastí vnútri harddisku. Tie sú využité na ukladanie vyfiltrovaných informácií a ich neskoršie použitie útočníkmi. Niekedy je vďaka tomu možné prelomiť aj šifrovanie. „Ak vezmeme do úvahy, že ich implantát GrayFish je aktívny od samotného bootu systému, môžu zachytiť šifrovacie heslo a ukryť ho do tejto oblasti,“ dodáva Raiu. Okrem týchto techník skupina Equation využila červa Fanny. Jeho hlavnou úlohou je zmapovať siete využívajúce bezpečnostnú techniku "air-gapped networks", teda ich fyzické izolácie, porozumieť ich stavbe a pokúsiť sa získať kontrolu nad nimi. Využili na to mechanizmus kontroly a ovládania pomocou infikovaného USB disku so skrytým úložiskom, ktorý útočníkom umožnil dodávať dáta do a získavať ich z týchto izolovaných sietí. Funguje to tak, že infikovaný USB disk zbieral základné systémové informácie z počítača nepripojeného k internetu a posielal ich kontrolným C & C serverom, keď bol pripojený na počítač infikovaný červom Fanny s internetovým pripojením. Ak útočníci chceli spustiť nejakú úlohu na izolovanej sieti, mohli červ uložiť na skrytú časť úložiska USB a keď bol pripojený do izolovaného počítača, červ Fanny príkaz rozoznal a vykonal ho. Okrem týchto informácií existujú hodnoverné dôkazy, že skupina Equation komunikovala s ďalšími silnými skupinami, ako bol Stuxnet a Flame, a to z nadradenej pozície. Equation mala prístup k tzv. zero-day zraniteľnostiam skôr ako Stuxnet a Flame, a potom ich s nimi zdieľala. Napríklad v roku 2008 využil červ Fanny dve zero-day zraniteľnosti, ktoré boli Stuxnetem využité až v júni 2009 a v marci 2010. Počas fázy infikovania je skupina schopná využiť desať rôznych zraniteľností za sebou. Avšak analytici Kaspersky Lab nespozorovali prípad, kedy by boli použité za sebou viac ako tri zraniteľnosti. Ak prvá nefunguje, použijú útočníci druhú a prípadne tretiu. Pokiaľ ale všetky tri zlyhajú, systém už ďalej PC neinfikuje.
  Copyright © 2015 Kaspersky lab, DATARECOVERY, s.r.o.
  All rights reserved. Industry-leading Antivirus Software