A Kaspersky Lab globális kutató és elemző csapata (a továbbiakban: GReAT – Global Research and Analysis Team) több éve szorosan figyelemmel kísért több mint 60 olyan fejlett fenyegetést, amelyek világszerte kibertámadások soráért tehetők felelőssé. Most azonban a Kaspersky Lab szakértői megerősítették, hogy sikerült megtalálniuk azt a fenyegetést, amely összetettebb és kifinomultabb minden eddig ismertnél, és amely közel két évtizedig működött – ez pedig nem más, mint az Equation csoport.
2001 óta az Equation csoport több ezer – egyes feltételezések szerint több tízezer - áldozatot fertőzött meg a világ több mint 30 országában. A támadások a következő szektorokat érintették: kormányzati és diplomáciai szervezetek, távközlés, légiközlekedés, energia, nukleáris kutatás, olaj és gáz, katonaság, nanotechnológia. Célpontok voltak továbbá az iszlám aktivisták és tudósok, a tömegmédia, a közlekedés, a pénzintézetek és olyan vállalatok, amelyek titkosítási technológiákat fejlesztenek.
Az Equation csoport kiterjedt C&C infrastruktúrát használ, amely több mint 300 domaint és több mint 100 szervert tartalmaz. Ezeket a szervereket számos országban üzemeltetik, köztük az Egyesült Államokban, az Egyesült Királyságban, Olaszországban, Németországban, Hollandiában, Panamában, Costa Rica-ban, Malajziában, Kolumbiában és a Cseh Köztársaságban. A Kaspersky Lab jelenleg a 300 C&C szerverből néhány tucatot sinkholing technikával vizsgál.
Az áldozatok megfertőzéséhez a csoport a legfejlettebb malware-ek egész sorát használja. A GReAT–nek sikerült azonosítania két olyan modult, amely lehetővé teszi a merevlemez firmware-jének átprogramozását több tucat ismert merevlemez-márka esetében. Talán ez lehet az Equation csoport leghatékonyabb eszköze, és az első olyan ismert malware, amely képes a merevlemezek megfertőzésére.
Azáltal, hogy a merevlemez firmware-jét átprogramozta (azaz átírta a merevlemez operációs rendszerét), a csoport két célt is elért egyszerre:
1. Egy olyan, extrém méreteket öltő túlélőképességet, amely segít abban, hogy a malware átvészelje mind a lemezformázást, mind az operációs rendszer újratelepítését. Ha a malware bekerül a firmware-be, képes lesz arra, hogy örökké „feltámassza” magát. Megakadályozhatja egy lemezszektor törlését vagy felcserélheti azt egy rosszindulatú tartalmú szektorral a rendszer újraindulása alatt.
“Szintén veszélyes dolog, hogy ha a merevlemez egyszer megfertőződik ezzel a rosszindulatú kóddal akkor a firmware-t már lehetetlen átvizsgálni. Leegyszerűsítve: sok merevlemeznek vannak olyan funkciói, amellyel a firmware területre lehet írni, de nincsenek olyan funkciók, amelyekkel ezt vissza lehetne olvasni. Ez azt jelenti, hogy gyakorlatilag sötétben tapogatózunk, és nem tudjuk felderíteni azokat a merevlemezeket, amelyeket ez a malware megfertőzött.” – figyelmeztetett Costin Raiu, a Kaspersky Lab Globális Kutató és elemző csapatának vezetője.
2. Annak a képességét, hogy létrehozzon egy láthatatlan, tartósan fennálló rejtett területet a merevlemezen belül. Ez szolgál az ellopott adatok tárolására, amelyeket a támadók később letöltenek maguknak. Valamint néhány esetben segít a csoportnak abban, hogy a titkosítást feltörjék: “Figyelembe véve azt a tényt, hogy a GrayFish implantátum egészen a rendszer betöltésének kezdetétől működik, megvan a képességük arra, hogy megszerezzék a titkosítási jelszót és ezen a rejtett helyen tárolják” – magyarázta Costin Raiu.
Mindemellett az Equation csoport a Fanny nevű férget is használta, amelynek elsődleges feladata az volt, hogy feltérképezze az izolált hálózatokat, más szóval megismerje a nem elérhető hálózatok topológiáját, és ezeken az elszigetelt rendszereken hajtson végre parancsokat. Ehhez egy különleges, USB-alapú parancs és vezérlő mechanizmust használt, amely lehetővé teszi a támadóknak, hogy oda-vissza mozgassák az izolált hálózatok adatait.
Egész pontosan egy fertőzött, rejtett tárterülettel rendelkező USB memóriát használtak az alapvető rendszerinformációk kinyerésére egy olyan számítógépből, amely nincs az internethez csatlakoztatva. Amikor aztán ezt az USB-memóriát egy, a Fanny-val fertőzött olyan gépbe helyezték, amely kapcsolódik az internethez, az azonnal továbbküldte az adatokat a C&C szervernek. Ha a támadók az izolált hálózatban akartak parancsokat végrehajtani, akkor elmentették ezeket a parancsokat az USB-memóra rejtett területére. Amikor egy izolált számítógépbe helyezték az USB-memóriát, a Fanny felismerte a parancsokat és végrehajtotta őket.
Ráadásul annak is jelei vannak, hogy az Equation csoport együttműködött más hackercsoportokkal , például a Stuxnet és a Flame üzemeltetőivel, méghozzá felettes pozícióban. Az Equation csoport korábban tudott nulladik napi támadásokat alkalmazni, mint a Stuxnet és a Flame, és néhányszor meg is osztották a kihasználó kódokat másokkal.
Például 2008-ban a Fanny két olyan nulladik napi kihasználást alkalmazott, amelyeket a Stuxnet csak 2009 júniusában és 2010 márciusában vett fel az eszköztárába. Az egyikük egy, a Flame-től átvett modul volt.
A Kaspersky Lab az Equation csoport által a malware-ében használt hét kihasználó modult azonosított. Legalább négyet közülük nulladik napi támadásként használtak. Ismeretlen kihasználó modulokat is azonosítottak, amelyeket a Tor hálózathoz használt Firefox 17 böngésző ellen vetettek be.
A fertőzési folyamat során a csoport képes volt egymás után tíz kihasználó modult futtatni. Azonban a Kaspersky Lab szakértői azt figyelték meg, hogy sosem használtak háromnál többet. Ha az első nem sikeres, akkor megpróbálkoznak még eggyel, majd egy harmadikkal. Ha mindhárom elbukik, akkor nem fertőzik meg a rendszert.
A Kaspersky Lab termékei számos olyan esetet derítettek fel, amikor megkísérelték megfertőzni a felhasználóikat. A támadások közül sok az automatikus kihasználás elleni védelem technológiának köszönhetően volt sikertelen, amely felismeri és blokkolja az ismeretlen sebezhetőségek kihasználását. A feltehetően 2008 júliusában megjelent Fanny férget először 2008 decemberében észlelték és helyezték feketelistára a vállalat automatikus rendszerei.