Ο «πατέρας» της ψηφιακής κατασκοπείας

Έναν από τους πιο πολύπλοκους φορείς απειλών για ψηφιακές επιθέσεις σε όλον τον κόσμο αποκάλυψε πρόσφατα η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kasperksy Lab. Πρόκειται για την ομάδα Equation Group, η οποία, μάλιστα, είναι ενεργή εδώ και δύο δεκαετίες.

Η ομάδα φέρεται να έχει μολύνει υπολογιστές εταιρειών, πανεπιστημίων και κυβερνήσεων σε όλο τον κόσμο χρησιμποιώντας ασυνήθιστα ισχυρά και πολύπλοκα malwares. Η πιο ενδιαφέρουσα, όμως, αποκάλυψη ήταν πως η ομάδα χρησιμοποιούσε το εργαλείο GROK, το οποίο αποτελεί τεχνολογία της αμερικανικής υπηρεσίας πληροφοριών NSA. Η επιλογή των στόχων της ομάδας αλλά και οι δεσμοί της με τους διαχειριστές του Stuxnet, που ευθύνεται για επιθέσεις που αφορούσαν το πυρηνικό πρόγραμμα του Ιραν το 2010, ενισχύει ακόμα περισσότερο τις υποψίες για εμπλοκή των Ηνωμένων Πολιτειών.

Η NSA από την πλευρά της αρνήθηκε να σχολιάσει επίσημα τις καταγγελίες.  Η μόνη της δήλωση ήταν πως «η κυβέρνηση των ΗΠΑ ζητά από τις  υπηρεσίες πληροφοριών να προστατεύσουμε τις Ηνωμένες Πολιτείες , τους πολίτες της και τους συμμάχους της.»

H Equation Group μόλυνε συστήματα Windows, Mac ακόμα και iPhones. Ωστόσο, σε αντίθεση με άλλες ομάδες Hackers, ο στόχος δεν ήταν η καταστροφή των συστημάτων, αλλά η υποκλοπή δεδομένων.

Η ιδιαιτερότητα της Equation Group
Οι αναλυτές της Kaspersky Lab μπόρεσαν να ανακτήσουν δύο μονάδες, οι οποίες επιτρέπουν τον επαναπρογραμματισμό του firmware σκληρών δίσκων από περισσότερους από 12 δημοφιλείς κατασκευαστές. Αυτό είναι ίσως το πιο ισχυρό εργαλείο στο «οπλοστάσιο» του Equation Group και το πρώτο γνωστό κακόβουλο λογισμικό με την ικανότητα να «μολύνει» σκληρούς δίσκους.

«Ένας ιδιαίτερος κίνδυνος είναι ότι μόλις ο σκληρός δίσκος «μολυνθεί» με αυτό το κακόβουλο φορτίο, είναι αδύνατο να σκαναριστεί το firmware του. Για να το θέσω απλά: στους περισσότερους σκληρούς δίσκους υπάρχουν λειτουργίες για εγγραφή στην περιοχή του firmware, αλλά δεν υπάρχουν λειτουργίες για να διαβαστεί ξανά. Αυτό σημαίνει ότι είμαστε σχεδόν τυφλοί και δεν έχουμε τη δυνατότητα να εντοπίσουμε τους σκληρούς δίσκους που έχουν «μολυνθεί» από αυτό το κακόβουλο λογισμικό», προειδοποιεί ο Costin Raiu, Director της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.

Οπλοστάστιο και μέθοδοι κατασκοπείας
Οι επιτιθέμενοι χρησιμοποίησαν γενικές μεθόδους για να «μολύνουν» τους στόχους τους, όχι μόνο μέσω του διαδικτύου αλλά και στο φυσικό κόσμο. Για το λόγο αυτό, χρησιμοποίησαν μια τεχνική αναχαίτισης, υποκλέπτοντας στοιχεία και αντικαθιστώντας τα με τις αντίστοιχες Trojan εκδοχές τους, στα οποία η Kaspersky Lab αναφέρεται με τα ονόματα Equation Laser, Equation Drug, Double Fantasy, TripleFantasy, Fanny και Gray Fish, ενώ θεωρεί σίγουρο πως θα υπάρξουν και άλλα ενεργά «εμφυτεύματα» εκτός των προαναφερθέντων.

Ένα τέτοιο παράδειγμα αφορούσε τη στοχοποίηση συμμετεχόντων σε επιστημονικό συνέδριο στο Χιούστον. Όταν επέστρεφαν στο σπίτι, μερικοί από τους συμμετέχοντες έλαβαν ένα αντίγραφο των υλικών του συνεδρίου σε CD-ROM, το οποίο στη συνέχεια χρησιμοποιήθηκε για την εγκατάσταση του Trojan «Double Fantasy»  στη συσκευή του στόχου. Η ακριβής μέθοδος με την οποία έγιναν διαθέσιμα τα CD είναι άγνωστη.

Το worm «Fanny» ξεχωρίζει από όλες τις επιθέσεις που πραγματοποιήθηκαν από το Equation Group. Ο κύριος σκοπός του ήταν να χαρτογραφεί δίκτυα με «air gap». Με άλλα λόγια, να κατανοεί την τοπολογία δικτύων που δεν είναι προσιτά και να εκτελεί εντολές σε αυτά τα μεμονωμένα συστήματα. Για το σκοπό αυτό, χρησιμοποιείται ένας μοναδικός μηχανισμός «command andcontrol», ο οποίος βασίζεται σε USB και επέτρεπε στους επιτιθέμενους να μεταφέρουν δεδομένα από και προς τα δίκτυα με «air gap».

Ειδικότερα, ένα μη «μολυσμένο» USB stick με κρυφό αποθηκευτικό χώρο χρησιμοποιήθηκε για τη συλλογή βασικών πληροφοριών του συστήματος από έναν υπολογιστή που δεν ήταν συνδεδεμένος στο Internet, καθώς και για την αποστολή τους στον C&C μηχανισμό όταν το USB αυτό συνδέθηκε σε υπολογιστή που έχει προσβληθεί από το worm «Fanny» και βρισκόταν συνδεδεμένος στο Διαδίκτυο. Αν οι επιτιθέμενοι ήθελαν να εκτελέσουν εντολές σε δίκτυα με «air gap», θα μπορούσαν να αποθηκεύσουν τις εντολές στον κρυφό αποθηκευτικό χώρο του USB. Μόλις το USB συνδεόταν στον υπολογιστή με «air gap», το «Fanny» αναγνώριζε τις εντολές και τις εκτελούσε.

Συνδέσεις με άλλες ομάδες
Σύμφωνα με την Kasperksy Lab, υπάρχουν σοβαρές ενδείξεις που δείχνουν ότι το Equation Group έχει αλληλεπιδράσει με άλλες ισχυρές ομάδες, όπως με τους διαχειριστές των Stuxnet και Flame. Γενικά, η συγκεκριμένη ομάδα φαίνεται να βρισκόταν σε θέση υπεροχής σε σχέση με άλλους φορείς Το Equation Group είχε πρόσβαση σε zero-day απειλές, πριν ακόμα αυτές χρησιμοποιηθούν από το Stuxnet και το Flame.

Για παράδειγμα, το 2008 το «Fanny» χρησιμοποιούσε δύο zero-day απειλές που εισήχθησαν στο Stuxnet τον Ιούνιο του 2009 και το Μάρτιο του 2010. Ένα από τα zero-days του Stuxnet ήταν στην πραγματικότητα μια μονάδα του Flame, η οποία εκμεταλλευόταν τα ίδια τρωτά σημεία και η οποία αποσπάστηκε κατ ‘ευθείαν από την πλατφόρμα του Flame και ενσωματώθηκε στο Stuxnet.

Τα θύματα
Το Equation Group χρησιμοποιεί μια τεράστια C&C υποδομή που περιλαμβάνει περισσότερα από 300 domains και πάνω από 100 servers. Οι servers φιλοξενούνται σε πολλές χώρες, όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο, η Ιταλία, η Γερμανία, η Ολλανδία, ο Παναμάς, η Κόστα Ρίκα, η Μαλαισία, η Κολομβία και η Τσεχία. Η Kaspersky Lab σήμερα χρησιμοποιεί μεθόδους «sinkholing» για πάνω από 20 από τους 300 C&C servers.

Από το 2001, το Equation Group έχει «μολύνει» χιλιάδες ή ίσως ακόμη και δεκάδες χιλιάδες θύματα σε περισσότερες από 30 χώρες. Τα θύματα βρίσκονται στους ακόλουθους τομείς: Κυβερνητικοί και διπλωματικοί οργανισμοί, Τηλεπικοινωνίες, Αεροναυπηγική, Ενέργεια, Πυρηνική έρευνα, Πετρέλαιο και Φυσικό Αέριο, Στρατιωτικοί Οργανισμοί και Νανοτεχνολογία. Επίσης, στράφηκε εναντία σε ισλαμιστές ακτιβιστές, επιστήμονες, Μέσα Μαζικής Επικοινωνίας, εταιρείες μεταφορών, χρηματοοικονομικά ιδρύματα και εταιρείες που αναπτύσσουν τεχνολογίες κρυπτογράφησης.

Εντοπισμός
Η Kaspersky Lab παρατήρησε επτά exploits που χρησιμοποιούνται από το Equation Group στο ομώνυμο κακόβουλο λογισμικό. Τουλάχιστον τέσσερα από αυτά χρησιμοποιήθηκαν ως zero-dayαπειλές. Επιπλέον, παρατηρήθηκε η χρήση άγνωστων exploits, πιθανώς zero-day, με στόχο τονFirefox 17, με τον ίδιο τρόπο που αυτά χρησιμοποιούνται στον Tor browser.

Κατά το στάδιο της «μόλυνσης», η ομάδα έχει τη δυνατότητα να χρησιμοποιήσει δέκα exploits σε μια αλυσίδα. Ωστόσο, οι ειδικοί της Kaspersky Lab παρατήρησαν ότι δεν χρησιμοποιούνται περισσότερα από τρία. Αν το πρώτο δεν είναι επιτυχές, προσπαθούν με ένα άλλο, και στη συνέχεια με το τρίτο. Εάν και τα τρία exploits αποτύχουν, δεν «μολύνουν» το σύστημα.

Τα προϊόντα της Kaspersky Lab εντόπισαν έναν αριθμό προσπαθειών επίθεσης εναντίον χρηστών. Πολλές από αυτές τις επιθέσεις δεν ήταν επιτυχείς, χάρη στην τεχνολογία Automatic ExploitPrevention, η οποία εντοπίζει και εμποδίζει την εκμετάλλευση άγνωστων τρωτών σημείων. Το worm«Fanny» πιθανώς δημιουργήθηκε τον Ιούλιο του 2008, ενώ εντοπίστηκε για πρώτη φορά και εντάχθηκε στη μαύρη λίστα των αυτόματων συστημάτων της Kaspersky Lab το Δεκέμβριο του 2008.