A Stuxnet és a Flame elődje

Az amerikai Nemzetbiztonsági Ügynökség a legnagyobb vírusíró?!

Szinte hihetetlen, hogy ennyi ideig el tudott rejtőzni internetezők milliárdjai elől a fenyegetés, amely összetettebb és kifinomultabb minden eddig ismertnél, és amely közel két évtizedig működött. Persze akkor már kevésbé érthetetlen, ha valóban az NSA áll a háttérben...

_{2015.02.19 21:00ma.hu}

Kinyomtatom

+Nagyobb betűméret-Kisebb betűméret

A Kaspersky Lab globális kutató és elemző csapata (GReAT - Global Research and Analysis Team) több éve szorosan figyelemmel kísért több mint 60 olyan fejlett fenyegetést, amelyek világszerte kibertámadások soráért tehetők felelőssé. Most megerősítették, hogy sikerült megtalálniuk azt a fenyegetést, amely összetettebb és kifinomultabb minden eddig ismertnél, és amely közel két évtizedig működött - ez pedig nem más, mint az Equation csoport.

2001 óta az Equation csoport több ezer - egyes feltételezések szerint több tízezer - áldozatot fertőzött meg a világ több mint 30 országában. A támadások a következő szektorokat érintették: kormányzati és diplomáciai szervezetek, távközlés, légiközlekedés, energia, nukleáris kutatás, olaj és gáz, katonaság, nanotechnológia. Célpontok voltak továbbá az iszlám aktivisták és tudósok, a tömegmédia, a közlekedés, a pénzintézetek és olyan vállalatok, amelyek titkosítási technológiákat fejlesztenek.

Az Equation csoport kiterjedt C&C infrastruktúrát használ, amely több mint 300 domaint és több mint 100 szervert tartalmaz. Az áldozatok megfertőzéséhez a legfejlettebb malware-ek egész sorát vetette be. A GReAT-nek sikerült azonosítania két olyan modult, amely lehetővé teszi a merevlemez firmware-jének átprogramozását több tucat ismert merevlemez-márka esetében. Talán ez lehet az Equation csoport leghatékonyabb eszköze, és az első olyan ismert malware, amely képes a merevlemezek megfertőzésére.

Azáltal, hogy a merevlemez firmware-jét átprogramozta (azaz átírta a merevlemez operációs rendszerét), a csoport két célt is elért egyszerre. Egyrészt extrém méreteket öltő túlélőképességet, amely segít abban, hogy a malware átvészelje mind a lemezformázást, mind az operációs rendszer újratelepítését. Ha a malware bekerül a firmware-be, képes lesz arra, hogy örökké "feltámassza" magát. Megakadályozhatja egy lemezszektor törlését vagy felcserélheti azt egy rosszindulatú tartalmú szektorral a rendszer újraindulása alatt.

Másrészt annak képességét, hogy létrehozzon egy láthatatlan, tartósan fennálló rejtett területet a merevlemezen belül. Ez szolgál az ellopott adatok tárolására, amelyeket a támadók később letöltenek maguknak. Valamint néhány esetben segít a csoportnak abban, hogy a titkosítást feltörjék: "Figyelembe véve azt a tényt, hogy a GrayFish implantátum egészen a rendszer betöltésének kezdetétől működik, megvan a képességük arra, hogy megszerezzék a titkosítási jelszót és ezen a rejtett helyen tárolják" - magyarázta Costin Raiu, a Kaspersky Lab Globális Kutató és elemző csapatának vezetője.

_{Freedigitalphotos hyena reality}

Mindemellett az Equation csoport a Fanny nevű férget is használta, amelynek elsődleges feladata az volt, hogy feltérképezze az izolált hálózatokat, más szóval megismerje a nem elérhető hálózatok topológiáját, és ezeken az elszigetelt rendszereken hajtson végre parancsokat. Ehhez egy különleges, USB-alapú parancs és vezérlő mechanizmust használt, amely lehetővé teszi a támadóknak, hogy oda-vissza mozgassák az izolált hálózatok adatait.

Egész pontosan egy fertőzött, rejtett tárterülettel rendelkező USB memóriát használtak az alapvető rendszerinformációk kinyerésére egy olyan számítógépből, amely nincs az internethez csatlakoztatva. Amikor aztán ezt az USB-memóriát egy, a Fanny-val fertőzött olyan gépbe helyezték, amely kapcsolódik az internethez, az azonnal továbbküldte az adatokat a C&C szervernek. Ha a támadók az izolált hálózatban akartak parancsokat végrehajtani, akkor elmentették ezeket a parancsokat az USB-memóra rejtett területére. Amikor egy izolált számítógépbe helyezték az USB-memóriát, a Fanny felismerte a parancsokat és végrehajtotta őket.

Ráadásul annak is jelei vannak, hogy az Equation csoport együttműködött más hackercsoportokkal, például a Stuxnet és a Flame üzemeltetőivel, méghozzá felettes pozícióban. Az Equation csoport korábban tudott nulladik napi támadásokat alkalmazni, mint a Stuxnet és a Flame, és néhányszor meg is osztották a kihasználó kódokat másokkal. Például 2008-ban a Fanny két olyan nulladik napi kihasználást alkalmazott, amelyeket a Stuxnet csak 2009 júniusában és 2010 márciusában vett fel az eszköztárába. Az egyikük egy, a Flame-től átvett modul volt.

A Kaspersky Lab az Equation csoport által a malware-ében használt hét kihasználó modult azonosított. Legalább négyet közülük nulladik napi támadásként használtak. Ismeretlen kihasználó modulokat is azonosítottak, amelyeket a Tor hálózathoz használt Firefox 17 böngésző ellen vetettek be.

A fertőzési folyamat során a csoport képes volt egymás után tíz kihasználó modult futtatni. Azonban a Kaspersky Lab szakértői azt figyelték meg, hogy sosem használtak háromnál többet. Ha az első nem sikeres, akkor megpróbálkoznak még eggyel, majd egy harmadikkal. Ha mindhárom elbukik, akkor nem fertőzik meg a rendszert.

A Kaspersky Lab termékei számos olyan esetet derítettek fel, amikor megkísérelték megfertőzni a felhasználóikat. A támadások közül sok az automatikus kihasználás elleni védelem technológiának köszönhetően volt sikertelen, amely felismeri és blokkolja az ismeretlen sebezhetőségek kihasználását. A feltehetően 2008 júliusában megjelent Fanny férget először 2008 decemberében észlelték és helyezték feketelistára a vállalat automatikus rendszerei.

Hozzáadom a könyvjelzőhözKüldd ide: DeliciousKüldd ide: DiggKüldd ide: FacebookKüldd ide: myspaceKüldd ide: twitter