Μια εξαιρετικά προηγμένη ομάδα κυβερνοκατασκοπείας με το όνομα Equation τροποποίησε το firmware σκληρών δίσκων, μολύνοντας ενδεχομένως χιλιάδες υπολογιστές σε ευαίσθητους τομείς δραστηριότητας σε όλο τον κόσμο.
Ο κατάλογος των μονάδων αποθήκευσης που έχουν παραποιηθεί, περιλαμβάνει συσκευές που κατασκευάζονται από τις: Seagate, Western Digital, η Toshiba, Maxtor, η Micron, Samsung και IBM.
Μεταξύ των εργαλείων που χρησιμοποιήθηκαν από την ομάδα είναι ένα module που ονομάζεται “nls_933w.dll,” σκοπός του οποίου είναι «να επαναπρογραμματίσει το firmware για αρκετές διαφορετικές μάρκες σκληρών δίσκων”.
Η Kaspersky αναφέρει ότι αυτό το module είναι ίσως το πιο ισχυρό που χρησιμοποιείται και αυτό αντιπροσωπεύει ένα τεχνικό επίτευγμα που αποδεικνύει το επίπεδο πολυπλοκότητας των ικανοτήτων της ομάδας.
Με τη εμφύτευση της μόλυνσης στο firmware του σκληρού δίσκου, η Equation εξασφάλισε την παραμονή της στο σύστημα έως την αντικατάσταση της μονάδας αποθήκευσης, αφού το wipe του σκληρού δίσκου ή/και η εκ νέου εγκατάσταση του λειτουργικού συστήματος δεν θα είχε κανένα αποτέλεσμα και η λοίμωξη θα υφίσταται.
Οι ερευνητές εντόπισαν δύο κακόβουλα modules που θα μπορούσανε να επαναπρογραμματίσουν το firmware του σκληρού δίσκου, ένα από αυτά συντάχθηκε το 2013 και βρίσκεται στην κακόβουλη πλατφόρμα GrayFish και είναι σε θέση να επηρεάσει τουλάχιστον 12 μάρκες.
Η πρώτη έκδοση ανιχνεύθηκε στην πλατφόρμα EquationDrug και οι ερευνητές βρήκαν μια ημερομηνία σύνταξης από το 2010. Αφορούσε συνολικά έξι μάρκες του σκληρού δίσκου.
Ο επαναπρογραμματισμός του λογισμικού των συσκευών αποθήκευσης επιτρέπει στους κυβερνοεγκληματίες να δημιουργήσουν έναν κρυφό χώρο αποθήκευσης δεδομένων που απομονώνεται από το λειτουργικό σύστημα και το οποίο θα μπορούσε να προσεγγιστεί μόνο μέσω ειδικών μεθόδων που δημιουργήθηκαν από τους ίδιους.
Οι επηρεαζόμενες μονάδες χρησιμοποιούνται από την κυβέρνηση και από διπλωματικά ιδρύματα, εταιρείες τηλεπικοινωνιών, οργανισμούς που δραστηριοποιούνται σε τομείς όπως η αεροδιαστημική, η ενέργεια, η πυρηνική έρευνα, το πετρέλαιο και το φυσικό αέριο, τον στρατό, τη νανοτεχνολογία, τις μεταφορές, τον χρηματοπιστωτικό τομέα, ή φορείς που αναπτύσσουν τεχνολογίες κρυπτογράφησης.
Ερευνητές ασφαλείας βρήκαν στοιχεία που αποδεικνύουν ότι η ομάδα Equation επικαλείται malware κομμάτια που συγκεντρώθηκαν το 2002, αν και ο Command & Control διακομιστής (C & C server) που χρησιμοποιείται για τη διαβίβαση των δεδομένων είχε καταχωρηθεί το 2001.
Ωστόσο, διαπίστωσαν επίσης ότι άλλοι C & C servers που χρησιμοποιήθηκαν από την ομάδα είχαν καταχωρηθεί από το 1996, γεγονός που υποδηλώνει ότι η ομάδα δραστηριοποιείται για σχεδόν 20 χρόνια.
Συνολικά έξι Trojans έχουν εντοπιστεί από τους ερευνητές (που ονομάζονται EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny και GrayFish από την Kaspersky), αλλά ο αριθμός τους είναι πιθανόν μεγαλύτερος.
Σε ένα blog post που δημοσιεύθηκε τη Δευτέρα, η Kaspersky αναφέρει ότι η Equation έχει συνεργαστεί με τις ομάδες που βρίσκονται πίσω από το Stuxnet και το Flame, “πάντα από θέση υπεροχής, καθώς είχαν πρόσβαση στα exploits νωρίτερα από τους άλλους”.
Η σύνδεση με τους υπεύθυνους του Stuxnet ανακαλύφθηκε στο worm Fanny, που ανιχνεύθηκε τον Δεκέμβριο του 2008. Στο Fanny χρησιμοποιούνται δύο από τα zero-day exploits ως εργαλείο επίθεσης στο ιρανικό πυρηνικό εργοστάσιο στη Natanz. Επιπλέον, το Fanny εξαπλώθηκε μέσω του LNK exploit kit που χρησιμοποιήθηκε στην επίθεση Stuxnet.
Είναι σημαντικό να αναφερθεί ότι τα exploits ενσωματώθηκαν για πρώτη φορά στο Fanny, και στη συνέχεια παρατηρήθηκαν στις πρώτες εκδόσεις του Stuxnet. Αυτό δείχνει ότι η ομάδα Equation είχε πρόσβαση στα κενά ασφαλείας πριν από την ομάδα που βρίσκεται πίσω από το Stuxnet.
Το γεγονός ότι τα διάφορα worms χρησιμοποίησαν τα ίδια exploits την ίδια περίπου περίοδο οδηγεί στο συμπέρασμα ότι τα μέλη της ομάδας Equation και οι προγραμματιστές του Stuxnet είναι είτε τα ίδια πρόσωπα είτε συνεργάζονται, αναφέρει η Kaspersky.
Το Stuxnet πιστεύεται ότι αποτελεί μέρος μιας κοινής προσπάθειας μεταξύ της NSA, CIA και της ισραηλινής αντικατασκοπίας.
Η Kaspersky δεν το αποδίδει κάπου στην ανάλυσή της, αλλά αναφέρει λεπτομέρειες που οδηγούν σε εργαλεία που περιλαμβάνονται σε κατάλογο με βοηθητικά προγράμματα που διέρρευσε και που χρησιμοποιούνται από την NSA.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου