srijeda, 18. veljače 2015.

NSA za špijuniranje godinama koristi malware u firmware-u hard diskova

Kaspersky Lab je otkrio operaciju cyber špijunaže grupe koju su istraživači ruske kompanije nazvali Equation i koja je, prema njihovim riječima, "vjerojatno jedna od najsofisticiranijih i najnaprednijih grupa u svijetu" od svih kojih su oni ikad vidjeli. Iako se ne zna kada je grupa Equation započela sa svojim aktivnostima, neki dokazi govore da je ona aktivna skoro dvadeset godina.

Grupa Equation je godinama inficirala tisuće, a možda i desetine tisuća računala širom svijeta, i to prije svega, u državnim i diplomatskim institucijama, telekomunikacijskim kompanijama, avio kompanijama, energetskim, naftnim i plinskim kompanijama, vojnim organizacijama i institucijama koje se bave nuklearnim istraživanjima, medijima, transportnim kompanijama, financijskim institucijama, medijima, kompanijama koje razvijaju tehnologije enkripcije, ali i računala islamskih aktivista i naučnika. Žrtve ove grupe su iz više od 30 zemalja iz cijelog svijeta.
Grupa je koristila arsenal veoma moćnih i kompleksnih alata čiji je razvoj zahtijevao mnogo ulaganja. Ti takozvani "implanti", kako grupa zove svoje Trojance, istraživači Kaspersky Laba nazvali su EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY i GRAYFISH. Iz Kaspersky Laba kažu da je sasvim izvjesno da ovi alati nisu jedini koje je grupa koristila, ali da ostale alate tek treba identificirati i imenovati.
Sama grupa je koristila tajna imena za svoje alate, kao što su SKYHOOKCHOW, UR, KS, SF, STEALHFIGHTER, DRINKPARSLEY, STRAIACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER i GROK.

Neki od najmoćnijih alata iz arsenala grupe Equation su moduli EquationDrug i GrayFish. Oni omogućavaju reprogramiranje firmware-a hard diskova na desetine različitih proizvođača, uključujući i Seagate, Western Digital, Toshiba, Maxtor i IBM.
Reprogramiranjem firmware-a hard diska, grupa je osiguravala opstanak malware-a tako da preživi formatiranje diska i reinstalaciju operativnog sistema. Ako bi malware dospio u firmware, on se mogao "oživljavati" u nedogled. Modul je mogao spriječiti brisanje određenih sektora diska ili ih je zamijenio malicioznim tijekom pokretanja operativnog sistema.
"Druga opasnost je što kada se hard disk inficira ovim malicioznim payloadom, nemoguće je skenirati njegov firmware. Da pojednostavimo: za većinu hard diskova postoje funkcije za upis u firmware hardvera, ali nema funkcija da se to pročita. To znači da smo praktično slijepi, i ne možemo detektirati hard diskove inficirane ovim malware-om", kaže Costin Raiu, direktor tima za globalno istraživanje i analizu u kompaniji Kaspersky Lab.

Reprogramiranje firmwarea omogućava kreiranje nevidljivog, postojanog sektora skrivenog unutar hard diska. On se koristi za čuvanje izvučenih informacija koje napadači kasnije mogu uzeti. Također, u nekim slučajevima oni mogu pomoći grupi da razbije enkripciju.
GrayFish se može instalirati u MBR (master boot record) računala, koji se učitava prije operativnog sistema i čuva sve svoje podatke u dijelu operativnog sistema koji je poznat kao registry, u kome se normalno čuvaju konfiguracijski podaci.
EquationDrug je korišten na starijim verzijama Windowsa i nekim pluginovima koji su prvobitno dizajnirani da budu korišteni na Windows 95/98/ME, što ukazuje da grupa Equation postoji već dugi niz godina.

Tijekom prethodnih dvadesetak godina, grupa Equation je izvela mnogo različitih napada. Napad crva Fanny se ipak izdvaja. On je aktivan od 2008., a prvi put su ga sistemi Kaspersky Laba uočili i blokirali u prosincu iste godine. Fanny je za širenje koristio Stuxnet LNK exploit i USB stikove. Za eskalaciju privilegija, Fanny je koristio sigurnosni propust koji je Microsoft ispravio ažuriranjem MS09-025, a koju je također koristila jedna od prvih verzija Stuxnet-a iz 2009.
Zanimljivo je da je Fanny koristio ova dva exploita prije nego što su oni integrirani u Stuxnet, što ukazuje da je grupa Equation imala pristup ovim 0-day exploitima prije grupe Stuxnet. Jedan od 0-day exploita u Stuxnet-u je ustvari bio Flame modul koji je koristio istu ranjivost i koji je uzet iz Flame platforme i ugrađen u Stuxnet.
Glavni cilj crva Fanny je bio mapiranje kompjutera koji su izolirani od nesigurnih mreža (air-gapped). Da bi to postigao, Fanny je koristio komande na USB-u i kontrolni mehanizam koji je omogućavao prolaz podataka prema i od ovakvih kompjutera.
Konkretno, inficirani USB stick sa sakrivenim skladišnim prostorom je korišten za prikupljanje osnovnih informacija o sistemu s kompjutera koji nije povezan s internetom, koje se šalju C&C serveru kada se USB stick priključi na kompjuter zaražen crvom Fanny i to kada se računalo poveže s internetom. Ako bi napadači željeli izdati naredbe na izoliranim mrežama, oni ih mogu sačuvati u tim skrivenim sektorima na USB sticku. Kada se stick priključi na izolirano računalo, Fanny prepoznaje naredbe i izvršava ih.

Grupa Equation koristi jedinstvene metode za infekciju računala. Te osim infekcije preko weba, uključuje i fizički svijet - presretanje fizičkih dobara i zamjenjivanje trojanskim replikama. U jednom slučaju, na primjer, ciljevi su bili sudionici znanstvene konferencije u Hustonu. Kada su se znanstvenici vratili svojim kućama, neki od sudionika konferencije dobili su kopiju konferencijskog materijala na CD-u koji je iskorišten za instalaciju implanta DoubleFantasy na računalima.
Neki dokazi otkrivaju čvrste veze koje je grupa Equation imala s drugim grupama, kao što su Stuxnet i Flame, ali uvijek s pozicije moćnijeg. To dokazuje činjenica da su imali pristup nekim 0-day exploitima prije grupa Stuxnet i Flame, ali i to da su u nekom trenutku grupe dijelile exploite.
Grupa Equation je koristila infrastrukturu za naredbu i kontrolu (C&C) koja uključuje više od 300 domena i više od 100 servera u različitim zemljama, uključujući Veliku Britaniju, SAD, Italiju, Njemačku, Nizozemsku, Panamu, Kostariku, Maleziju, Kolumbiju i Češku.
Istraživači Kaspersky Laba su otkrili sedam exploita koje je koristila grupa Eqution, od kojih su najmanje četiri 0-day exploiti.
Tijekom faze infekcije, grupa je mogla koristiti i deset exploita u nizu. Međutim, istraživači su tvrdili da nikada nije korišteno više od tri exploita. Ako prvi ne bi bio uspješan, grupa bi probala s drugim, a zatim u slučaju neuspjeha i s trećim. Ako bi sva tri exploita bila neuspješna, grupa ne bi inficirala sistem.

Kaspersky Lab je odbio javno imenovanje države ili agencije koja stoji iza ove operacije, ali ukazivanje na povezanost sa Stuxnet-om, vodećim cyber oružjem američke Nacionalne sigurnosne agencije (NSA) koje je korišteno za sabotažu iranskih postrojenja za obogaćivanje uranija, jasno govori tko bi mogao biti osumnjičeni u ovom slučaju.
Osim toga, na to bi mogla ukazati i činjenica da je najveći broj infekcija koje je otkrio Kaspersky Lab otkriven u zemljama koje su često mete američkog špijuniranja, kao što su Kina, Iran, Pakistan i Rusija.
Izvor Reutersa, koji je nekada radio u NSA, potvrdio je otkriće i analizu Kaspersky Laba, kao i da je agencija odgovorna za ovu operaciju.
NSA je odbila komentirati ovaj izvještaj Kaspersky Laba.

Nema komentara:

Objavi komentar

Poruka će biti vidljiva nakon provjere.