Image
19.2.2015 0 Comments

Dokonalý špionážny softvér Equation je schopný infikovať priamo pevné disky

HDD.jpg Tím analytikov spoločnosti Kaspersky Lab odhalil skupinu The Equation Group stojacu za komplexným a sofistikovaným špionážnym útokom. Tá bola aktívna takmer dve desaťročia a od roku 2001 infikovala tisíce a možno aj desaťtisíce obetí vo viac ako 30 krajinách po celom svete.

Medzi napadnutými boli vládne a diplomatické inštitúcie, telekomunikačné spoločnosti, letecký a energetický sektor, jadrový výskum, petrolejársky priemysel, armáda, odvetvie nanotechnológií, islamskí aktivisti a učenci, médiá, dopravný sektor, finančné inštitúcie a spoločnosti vyvíjajúce šifrovacie technológie.

equation.jpg

Skupina Equation (po slovensky rovnica) využíva rozsiahlu kontrolnú infraštruktúru C & C, ktorá zahŕňa vyše 300 domén a viac než 100 serverov. Tieto servery sa nachádzajú v mnohých krajinách vrátane USA, Veľkej Británie, Talianska, Nemecka, Holandska, Panamy, Kostariky, Malajzie, Kolumbie a Českej republiky. Kaspersky Lab niekoľko desiatok serverov v súčasnosti monitoruje pomocou „sinkholingu".

Na infikovanie obetí využíva skupina silný a moderný arzenál malvéru. Analytici boli schopní získať dva moduly, ktoré umožňujú preprogramovať firmvér viac než desiatky známych značiek pevných diskov. Ide zrejme o vôbec prvý známy malvér schopný infikovať priamo pevné disky.

equation-stuxnet_connetion.jpg

Preprogramovaním firmvéru pevných diskov (teda prepisom ich operačného systému) dosiahla skupina nasledujúce dva ciele:

1. Vysokú úroveň odolnosti, ktorá pomáha malvéru prekonať aj naformátovanie disku a reinštaláciu operačného systému. Ak sa malvér dostane do firmvéru HDD, môže sa nekonečne obnovovať. Vie totiž zabrániť zmazaniu určitého oddielu alebo ho nahradiť škodlivým kódom počas obnovenia systému.

„Keď je pevný disk infikovaný, nemožno jeho firmvér skenovať. Sme prakticky slepí a nemôžeme odhaliť napadnuté pevné disky," varuje šéf analytikov Kaspersky Lab Costin Raiu.

2. Schopnosť tvorby neviditeľných a odolných oblastí vnútri pevného disku. Tie sú využité na ukladanie vyfiltrovaných informácií a ich neskoršie použitie útočníkmi. Niekedy vďaka tomu možno prelomiť aj šifrovanie.

„Ak vezmeme do úvahy, že ich implantát GrayFish je aktívny od samotného bootu systému, môžu zachytiť šifrovacie heslo a ukryť ho do tejto oblasti," dodáva Raiu.

Okrem týchto techník skupina Equation využila červa Fanny. Jeho hlavnou úlohou je zmapovať siete využívajúce bezpečnostnú techniku „air-gapped networks", teda ich fyzickú izoláciu, porozumieť ich stavbe a pokúsiť sa získať kontrolu nad nimi. Využili na to mechanizmus kontroly a ovládania pomocou infikovaného disku USB so skrytým úložiskom, ktorý útočníkom umožnil dodávať dáta do týchto izolovaných sietí a získavať ich z nich.

Funguje to tak, že infikovaný disk USB zbieral základné systémové informácie z počítača nepripojeného k internetu a posielal ich kontrolným C & C serverom, keď bol pripojený na počítač infikovaný červom Fanny s internetovým pripojením. Ak útočníci chceli spustiť nejakú úlohu na izolovanej sieti, mohli červa uložiť na skrytú časť úložiska USB, a keď bol pripojený do izolovaného počítača, červ Fanny príkaz rozoznal a vykonal ho.

Okrem týchto informácií existujú hodnoverné dôkazy, že skupina Equation komunikovala s ďalšími silnými skupinami, ako bol Stuxnet a Flame, a to z nadradenej pozície. Equation mala prístup k tzv. zero-day zraniteľnostiam skôr ako Stuxnet a Flame, potom ich s nimi zdieľala. Napríklad v roku 2008 využil červ Fanny dve zero-day zraniteľnosti, ktoré boli Stuxnetom využité až v júni 2009 a v marci 2010.

Počas fázy infikovania je skupina schopná využiť desať rôznych zraniteľností za sebou. Analytici Kaspersky Lab však nespozorovali prípad, keď by boli použité za sebou viac ako tri zraniteľnosti. Ak prvá nefunguje, použijú útočníci druhú a prípadne tretiu. No ak všetky tri zlyhajú, systém už ďalej PC neinfikuje.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Bezpečnosť

Generálmajor Jonathan Shaw: Kybernetickú bezpečnosť musí riešiť manažment, a nie IT oddelenie

25.11.2016 00:13

Pod názvom Judgment Day sa v Bratislave konal už 11. ročník konferencie zameranej na informačnú bezpečnosť. Na konferencii, ktorú pripravuje TEMPEST spolu so svojimi partnermi, sa každoročne stretáva ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá