Grupa równania

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj

Grupa równania ("Equation group"; ang. zespół równania, grupa równania) – sklasyfikowany jako złożone stałe zagrożenie, jest wysoce zaawansowanym aktorem zagrożenia, podejrzanym o bycie powiązanym z agencjią bezpieczeństwa narodowego (NSA).[1][2][3] Kaspersky Lab opisuje ich jako jedną z najbardziej złożonych grup na świecie zajmujących się cyber-atakami grup i "najbardziej zaawansowaną ... jaką widzieliśmy", działające razem, ale zawsze z pozycji wyższości z twórcami robaka stuxnet i flame.[4] większość ich celów była  w Iranie, Rosji, Pakistanie, Afganistanie, Indiach, Syrii i Mali.

Nazwa równania grupy została wybrana ze względu na szczególne upodobanie grupy w metodach silnego szyfrowania w swojej działalności. Do 2015 roku, Kaspersky udokumentował 500 infekcji szkodliwym oprogramowaniem grupy w co najmniej 42 krajach, uznając, że rzeczywista liczba może wynosić  dziesiątki tysięcy z powodu samoczynnego zakończenia protokołu.[5][6]

W 2017 roku, Wikileaks opublikowała dyskusję przeprowadzoną w CIA odnośnie możliwości zidentyfikowania grupy.[7] jeden z komentatorów napisał, że "grupa równań, jak określono ją w raporcie nie odnosi się do konkretnej grupy, a raczej do zestawu narzędzi" wykorzystywanych do włamania.[8]

Odkrycie[edytuj]

Na szczycie analitycy bezpieczeństwa Kaspersky który odbył się 16 stycznia 2015 roku w Meksyku, Kaspersky Lab ogłosiła odkrycie grupy równania. Według raportu Kaspersky Lab, grupa aktywnie działała co najmniej od 2001 roku, mając ponad 60 aktorów.[9] Złośliwe oprogramowanie, używane w ich pracy, nazwane EquationDrug i GrayFish, było w stanie przeprogramować oprogramowanie układowe na dyskach twardych. Ze względu na wykorzystanie zaawansowanych technologii i wysoki poziom tajności grupy, jest ona podejrzana o powiązania z NSA, ale Kaspersky Lab nie zidentyfikował aktorów grupy.

Prawdopodobne powiązania ze stuxnet i NSA[edytuj]

W Badaniach Kaspersky'ego przeprowadzonych nad grupą w 2015 odnotowano, że jej oprogramowanie, "Grayfish", miało podobieństwa do wcześniej wykrytego "Gauss'a" z innych serii ataków; ponadto odnotowali, że Grupa równania wykorzystała dwa ataki "zero-day" wykorzystanych później w "Stuxnet"; naukowcy doszli do wniosku, że "podobny Typ wykorzystania obu luk razem przez dwa różne robaki, mniej więcej w tym samym czasie, wskazuje iż grupa równania i twórcy Stuxnet są albo tym samym, albo nawiązali ścisłą współpracę".[10]:13

Oprogramowanie układowe[edytuj]

Zidentyfikowali również, iż Platforma czasem bywała rozprzestrzeniana (w wyniku tzw. "interdiction", czyli w tym przypadku - przechwycenia oryginalnych płyt CD wysłanych pocztą tradycyjną przez organizatora konferencji naukowej),:15  oraz że Platforma miała "bezprecedensową" zdolność infekowania i bycia przesyłaną poprzez oprogramowanie układowe dysków twardych kilku większych producentów; była ponadto w stanie tworzyć i wykorzystywać ukryte obszary dysku i dyski wirtualne do swoich celów - wyczyn ten wymagał dostępu do kodu źródłowego producenta każdego z nich,:16–18, dodatkowo narzędzie zostało zaprojektowane z tak dużą precyzją, iż mogło wykluczyć pewne kraje poprzez adres IP i namierzać konkretne nazwy użytkowników na forach dyskusyjnych:23–26

Słowa kodowe i znaczniki czasu[edytuj]

Słowa kodowe NSA takie jak "STRAITACID" i "STRAITSHOOTER" zostały znalezione w złośliwym oprogramowaniu. Ponadto, znaczniki czasu w malware wskazywały na fakt, iż programiści pracowali w zdecydowanej większości przypadków od poniedziałku do piątku, w godzinach które pokrywały się z dniem roboczym (08:00-17:00) w strefie czasowej wschodniej części Stanów Zjednoczonych.[11]

Exploit LNK[edytuj]

Zespół Kaspersky'ego ds. globalnych badań i analiz (ang. Global Research and Analysis Team, w skrócie: "GReAT") twierdził, że znalazł fragment złośliwego oprogramowania, który zawierał "privLib" Stuxnet'a w 2008.[12] w szczególności, zawierał on exploit'a LNK, znalezionego w stuxnet w 2010. "Fanny" jest klasyfikowany jako robak, który wpływa na niektóre systemy operacyjne Windows i próbuje rozprzestrzeniać się poprzecznie przez połączenie sieciowe lub USB. Kaspersky stwierdził , iż podejrzewają, że ze względu na zarejestrowany czas kompilacji Fanny, grupa równania powstała wcześniej niż stuxnet.

Powiązania grupy z IRATEMONK[edytuj]

lista NSA z uwzględnieniem dostępu do operacji programu IRATEMONK od NSA ant catalogue.

F-Secure twierdzi, że szkodliwe oprogramowanie układowe dysków twardych grupy to program typu TAO o nazwie "IRATEMONK",[13] będący jednym z obiektów wymienioncyh w tzw. "NSA ANT catalog"  ujawnionym w 2013 roku w artykule w Der Spiegel. IRATEMONK zapewnia atakującemu możliwość zainstalowania ich oprogramowania użytkowego na komputerach stacjonarnych i laptopach, które będzie działać nawet, jeśli dysk zostanie sformatowany, jego dane usunięte lub system operacyjny zostanie zainstalowany ponownie. Zaraża oprogramowanie układowe dysków twardych, który z kolei dodaje instrukcje do głównego rekordu rozruchowego; on z kolei powoduje, że oprogramowanie instaluje się za każdym razem, gdy komputer jest uruchamiany. Jest w stanie zarazić pewne dyski od Seagate, Maxtor, Western Digital, Samsung[14] IBM, Micron i Toshiby.

Rozłam grupy w 2016[edytuj]

W sierpniu 2016 roku, grupa hakerów określająca się mianem "pośrednicy cienia" ogłosiła, że wykradli szkodliwy kod grupie równania.[15] Kaspersky Lab zauważył podobieństwa między skradzionym kodem i poznanym wcześniej kodem pozyskanym z próbek złośliwego oprogramowania grupy równania, które posiadała (były tam również niestandardowe fragmenty kodu, charakterystyczne dla grupy równań, m.in. nietypowy sposób implementacji algorymtu RC6) - tym samym wywnioskowali, że to oświadczenie jest autentyczne.[16] Edward Snowden zasugerował, że pośrednicy cienia są w rzeczywistości Rosyjskim wywiadem.[17] najnowsze dane ze skradzionych plików pochodzą z czerwca 2013 roku, co skłoniło Snowdena do przypuszczeń, że prawdopodobna blokada utworzona w wyniku wycieku danych z raportu NSA ds. globalnego i wewnętrznego nadzoru (spowodowanego przez Snowdena) zatrzymała pośredników cienia przed rozbiciem grupy równań. Exploit'y stworzone przeciwko Cisco Adaptive Security Appliances i zaporom Fortinet'a wystąpiły w niektórych próbkach złośliwego oprogramowania, stworzonego przez pośredników cienia.[18] EXTRABACON, exploit w protokole SNMP użyty przeciwko firmie Cisco ASA, był exploitem typu zero-day w momencie jego ogłoszenia. "Juniper" potwierdził również, że zapory sieciowe NetScreen zostały zatakowane.[19] W EternalBlue był on użyty do przeprowadzenia ataku ransomware na całym świecie o nazwie WannaCry.

Zobacz też[edytuj]

Przypisy

  1. Thomas Fox-Brewster. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. . 
  2. Joseph Menn: Russian researchers expose breakthrough U.S. spying program. February 17, 2015. [dostęp November 24, 2015].
  3. The nsa was hacked snowden documents confirm. 19 August 2016. [dostęp 19 August 2016].
  4. GReAT: Equation: The Death Star of Malware Galaxy. securelist.com, 16 luty, 2015. [dostęp 16 sierpnia 2016].
  5. Dan Goodin: How "omnipotent" hackers tied to NSA hid for 14 years—and were found at last. 16 luty, 2015. [dostęp 24 listopad 2015].
  6. Jeremy Kirk: Destroying your hard drive is the only way to stop this super-advanced malware. W: PCWorld [on-line]. 17 luty2015.
  7. Dan Goodin: After NSA hacking exposé, CIA staffers asked where Equation Group went wrong.
  8. What did Equation do wrong, and how can we avoid doing the same?.
  9. Equation Group: The Crown Creator of Cyber-Espionage. W: Kaspersky Lab [on-line]. 16 luty 2015.
  10. Equation Group: Questions and Answers (Version: 1.5). Kaspersky Lab, luty2015.
  11. Dan Goodin: New smoking gun further ties NSA to omnipotent "Equation Group" hackers. W: Ars Technica [on-line]. 11 marca 2015. [dostęp 24 listopada 2015].
  12. A Fanny Equation: "I am your father, Stuxnet". Kaspersky Lab, 17 luty 2015. [dostęp 24 listopad 2015].
  13. The Equation Group Equals NSA / IRATEMONK. W: F-Secure Weblog : News from the Lab [on-line]. 17 luty 2015. [dostęp 24 listopada 2015].
  14. Bruce Schneier: IRATEMONK: NSA Exploit of the Day. W: Schneier on Security [on-line]. 31 stycznia 2014. [dostęp 24 listopada 2015].
  15. Dan Goodin: Group claims to hack NSA-tied hackers, posts exploits as proof. August 15, 2016.
  16. Dan Goodin: Confirmed: hacking tool leak came from “omnipotent” NSA-tied group. August 16, 2016.
  17. Sean Michael Kerner: Shadow Brokers Allegedly Hack NSA's Equation Group. August 16, 2016.
  18. Iain Thomson: Cisco confirms two of the Shadow Brokers' 'NSA' vulns are real. August 17, 2016.
  19. Darren Pauli: Equation Group exploit hits newer Cisco ASA, Juniper Netscreen. August 24, 2016.