BIZIT 11 - prvi dan

Kasperski i Equation grupa

Ruska kompanija Kasperski Lab posle dužeg istraživanja rešila je jednu od najtežih „jednačina“ do sada i došla do otkrića moćnog tima kompjuterske špijunaže, koji je nazvala Equation grupa. Iako nije tačno poznato kada je grupa počela s radom, smatra se da je aktivna već skoro dve decenije, a njihovi napadi realizovani su na neobične načine.

Equation-group-1Equation grupa je veoma kompleksan tim koji je povezan s mnogim napadima na računare i mreže kompanija u više od 40 zemalja. Neki od ovih napada datiraju još iz 2001. godine. Sumnja se da je grupa sa svojim malicioznim softverima aktivna još od 1996, jer su pojedini bili dizajnirani za Microsoft Windows 95/98/Me. Tokom tog perioda zaražen je veliki broj računara u finansijskim, državnim i diplomatskim institucijama, medijskim i vojnim organizacijama, telekomunikacionim, avio, energetskim, naftnim i gasnim kompanijama. Napadnuti su i računari specijalne namene u osetljivim istraživačkim centrima koji se bave nuklearnom tehnologijom i kriptografijom, kao i računari islamskih aktivista i naučnika.

U dubinama hard‑diska

Kasperski je tim napadača koji stoje iza ovih veoma kompleksnih kompjuterskih napada nazvao Equation grupa. To je zato što vole da koriste kriptografske algoritme, prikrivenu strategiju i sofisticirane metode za svoje operacije. U malicioznim softverima najčešće koriste posebnu implementaciju RC5 algoritma, mada se sreću i RC4, RC6, AES, kao i druge kriptografske i heš funkcije.

Pročitajte i:  Više od milion Android TV bokseva inficirano sa Vo1d malware-om

Otkrivanjem Equation grupe došlo se do saznanja da postoje kompleksnije vrste napada na kojima se zasnivaju mnoge otkrivene zloupotrebe. Do sada je Kasperski detektovao nekoliko malicioznih softverskih platformi koje koristi samo Equation grupa. Ovu familiju za sada čine moduli: EquationDrug, DoubleFantasy, TripleFantasy, GrayFish, Fanny i EquationLaser.

Moduli EquationDrug i GrayFish koriste se za reprogramiranje  firmverana hard‑diskovima mnogih poznatih proizvođača kao što su Maxtor, Western Digital, Seagate, Toshiba… Ubacivanjem malicioznog softvera u firmver diska omogućava se njegov opstanak i posle formatiranja ili reinstalacije operativnog sistema. Pojedini delovi hard‑diska mogli su da budu zamenjeni malicioznim kodom tokom pokretanja OS‑a, a moduli su mogli čak i da spreče brisanje pojedinih sektora diska. Reprogramiranje  firmveraomogućava formiranje skrivenog sektora unutar hard‑diska. Na njemu se čuvaju prikupljene informacije, koje se kasnije prosleđuju napadaču. Veliki broj hard‑diskova ima funkciju za upis u firmver (zbog update‑a) ali ne i da se upisano pročita. Zbog toga je veoma teško, gotovo nemoguće, da se ovi maliciozni softveri primete.

Pročitajte i:  Više od milion Android TV bokseva inficirano sa Vo1d malware-om

Specifičan je i crv Fanny, koji je počeo da se koristi 2008, a otkriven je u decembru iste godine. Za svoje širenje Fanny je koristio Stuxnet LNK exploit i USB prenosive memorije. Glavni cilj ovog crva bio je da se informacije preko prenosive memorije s računara koji je u izolovanoj mreži prenesu na računar koji je na Internetu.

Ko stoji iza Equation grupe?

I Equation grupa i dobro poznati Regin koriste multimalicioznu softversku platformu. Zbog takve složenosti za razvoj Regin‑a, kao i malicioznih softvera Equation grupe bilo je potrebno više meseci, a možda čak i godina, kao i veoma stručan i kompleksan tim. Iako trenutno nije uočena povezanost između Equation grupe i Regin‑a, nije isključeno da im je možda idejni tvorac isti (neka država).

Kompanija Kasperski ne navodi poreklo ove grupe, mada mnogi smatraju da je Equation grupa organizovana u SAD. Ovi maliciozni programi najrasprostranjeniji su na prostoru Rusije, Kine, Indije, Irana, Sirije, Pakistana i Avganistana. Postoji i povezanost s virusom Stuxnet, pa bi iza Equation grupe mogla da stoji američka Agencija za nacionalnu bezbednost (NSA). Pored toga, postoji sličnost između napada Equation grupe i Regin‑a za koji se veruje da je proizvod američke vlade. Sve u svemu, mnogo pitanja a malo odgovora, kao i uvek kada se zaviri u tajanstveni svet špijuna…

Pročitajte i:  Više od milion Android TV bokseva inficirano sa Vo1d malware-om

Luka Milinković

(Objavljeno u časopisu PC#219)

Facebook komentari:
Računari i Galaksija
Tagovi: , , , , , ,