2001 óta az Equation csoport több ezer – egyes feltételezések szerint több tízezer – áldozatot fertőzött meg a világ több mint 30 országában. A támadások a következő szektorokat érintették: kormányzati és diplomáciai szervezetek, távközlés, légiközlekedés, energia, nukleáris kutatás, olaj és gáz, katonaság, nanotechnológia. Célpontok voltak továbbá az iszlám aktivisták és tudósok, a tömegmédia, a közlekedés, a pénzintézetek és olyan vállalatok, amelyek titkosítási technológiákat fejlesztenek.
Ez az első olyan ismert malware, amely képes a merevlemezek megfertőzésére
Az Equation csoport kiterjedt C&C infrastruktúrát használ, amely több mint 300 domaint és több mint 100 szervert tartalmaz. Ezeket a szervereket számos országban üzemeltetik, köztük az Egyesült Államokban, az Egyesült Királyságban, Olaszországban, Németországban, Hollandiában, Panamában, Costa Rica-ban, Malajziában, Kolumbiában és a Cseh Köztársaságban. A Kaspersky Lab jelenleg a 300 C&C szerverből néhány tucatot sinkholing technikával vizsgál.
Az áldozatok megfertőzéséhez a csoport a legfejlettebb malware-ek egész sorát használja. A GReAT–nek sikerült azonosítania két olyan modult, amely lehetővé teszi a merevlemez firmware-jének átprogramozását több tucat ismert merevlemez-márka esetében. Talán ez lehet az Equation csoport leghatékonyabb eszköze, és az első olyan ismert malware, amely képes a merevlemezek megfertőzésére.
Egy legyet két csapásra
Azáltal, hogy a merevlemez firmware-jét átprogramozta (azaz átírta a merevlemez operációs rendszerét), a csoport két célt is elért egyszerre.
Az első egy olyan, extrém méreteket öltő túlélőképesség, amely segít abban, hogy a malware átvészelje mind a lemezformázást, mind az operációs rendszer újratelepítését. Ha a malware bekerül a firmware-be, képes lesz arra, hogy örökké „feltámassza” magát. Megakadályozhatja egy lemezszektor törlését vagy felcserélheti azt egy rosszindulatú tartalmú szektorral a rendszer újraindulása alatt.
“Szintén veszélyes dolog, hogy ha a merevlemez egyszer megfertőződik ezzel a rosszindulatú kóddal akkor a firmware-t már lehetetlen átvizsgálni. Leegyszerűsítve: sok merevlemeznek vannak olyan funkciói, amellyel a firmware területre lehet írni, de nincsenek olyan funkciók, amelyekkel ezt vissza lehetne olvasni. Ez azt jelenti, hogy gyakorlatilag sötétben tapogatózunk, és nem tudjuk felderíteni azokat a merevlemezeket, amelyeket ez a malware megfertőzött.” – figyelmeztetett Costin Raiu, a Kaspersky Lab Globális Kutató és elemző csapatának vezetője.
A második pedig annak a képessége, hogy létrehozzon egy láthatatlan, tartósan fennálló rejtett területet a merevlemezen belül. Ez szolgál az ellopott adatok tárolására, amelyeket a támadók később letöltenek maguknak. Valamint néhány esetben segít a csoportnak abban, hogy a titkosítást feltörjék: “Figyelembe véve azt a tényt, hogy a GrayFish implantátum egészen a rendszer betöltésének kezdetétől működik, megvan a képességük arra, hogy megszerezzék a titkosítási jelszót és ezen a rejtett helyen tárolják” – magyarázta Costin Raiu.
USB memóriát használtak az alapvető rendszerinformációk kinyerésére
Mindemellett az Equation csoport a Fanny nevű férget is használta, amelynek elsődleges feladata az volt, hogy feltérképezze az izolált hálózatokat, más szóval megismerje a nem elérhető hálozatok topologiáját, és ezeken az elszigetelt rendszereken hajtson végre parancsokat. Ehhez egy különleges, USB-alapú parancs és vezérlő mechanizmust használt, amely lehetővé teszi a támadóknak, hogy oda-vissza mozgassák az izolált hálózatok adatait.
Egész pontosan egy fertőzött, rejtett tárterülettel rendelkező USB memóriát használtak az alapvető rendszerinformációk kinyerésére egy olyan számítógépből, amely nincs az internethez csatlakoztatva. Amikor aztán ezt az USB-memóriát egy, a Fanny-val fertőzött olyan gépbe helyezték, amely kapcsolódik az internethez, az azonnal továbbküldte az adatokat a C&C szervernek. Ha a támadók az izolált hálózatban akartak parancsokat végrehajtani, akkor elmentették ezeket a parancsokat az USB-memóra rejtett területére. Amikor egy izolált számítógépbe helyezték az USB-memóriát, a Fanny felismerte a parancsokat és végrehajtotta őket.
Ráadásul annak is jelei vannak, hogy az Equation csoport együttműködött más hackercsoportokkal , például a Stuxnet és a Flame üzemeltetőivel, méghozzá felettes pozícióban. Az Equation csoport korábban tudott nulladik napi támadásokat akalmazni, mint a Stuxnet és a Flame, és néhányszor meg is osztották a kihasználó kódokat másokkal.
Például 2008-ban a Fanny két olyan nulladik napi kihasználást alkalmazott, amelyeket a Stuxnet csak 2009 júniusában és 2010 márciusában vett fel az eszköztárába. Az egyikük egy, a Flame-től átvett modul volt.
Csak háromszor próbálkoztak
A Kaspersky Lab az Equation csoport által a malware-ében használt hét kihasználó modult azonosított. Legalább négyet közülük nulladik napi támadásként használtak. Ismeretlen kihasználó modulokat is azonosítottak, amelyeket a Tor hálózathoz használt Firefox 17 böngésző ellen vetettek be .
A fertőzési folyamat során a csoport képes volt egymás után tíz kihasználó modult futtatni. Azonban a Kaspersky Lab szakértői azt figyelték meg, hogy sosem használtak háromnál többet. Ha az első nem sikeres, akkor megpróbálkoznak még eggyel, majd egy harmadikkal. Ha mindhárom elbukik, akkor nem fertőzik meg a rendszert.
A Kaspersky Lab termékei számos olyan esetet derítettek fel, amikor megkísérelték megfertőzni a felhasználóikat. A támadások közül sok az automatikus kihasználás elleni védelem technológiának köszönhetően volt sikertelen, amely felismeri és blokkolja az ismeretlen sebezhetőségek kihasználását. A feltehetően 2008 júliusában megjelent Fanny férget először 2008 decemberében észlelték és helyezték feketelistára a vállalat automatikus rendszerei.
