Equation Group

Iz Wikipedije, proste enciklopedije

Equation Group (angleško: Skupina za enačbe) je sofisticirana hekerska skupina, ki je odgovorna za različne izrabe računalniškega omrežja (Computer Network Exploitation - CNE ). Označimo jo lahko za napredno trajno grožnjo – to je skupek oz. niz prikritih in kompleksnih hekerskih aktivnosti, katerih namen je napad na točno določeno informacijsko infrastrukturo. S tem želijo storilci (hekerji) pridobiti dostop do točno določenih občutljivih podatkov.

Dokazi o obstoju skupine segajo v leto 2001, možno pa je, da delujejo že od leta 1996, saj so bile takrat registrirane prve domene njihovih nadzornih centrov. Uporabljajo raznoliko zlonamerno programsko opremo, ki po kompleksnosti in dodelanosti v veliki meri presega grožnjo Regin (hekersko orodje, ki ga najpogosteje uporablja NSA). Slednja velja za eno najbolj dodelanih hekerskih orodij.

Ime Equation Group izhaja iz njihove uporabe enkripcijskih algoritmov, strategij zavajanja in sofisticiranih metod, ki jih uporabljajo med hekerskimi aktivnostmi.

Glede na to, da se Equation group ni nikoli izpostavila v javnosti ali podala uradne izjave, je njihov namen nejasen. Glede na posredno povezavo z NSA lahko domnevamo, da je njihov namen globalno proameriško zbiranje informacij in delovanje v korist ZDA. To potrjujejo tudi napadi, ki so usmerjeni pretežno na Rusijo, Savdsko Arabijo in Mehiko.

Hekerska orodja in zlonamerna programska oprema[1][uredi | uredi kodo]

Do sedaj je bilo identificiranih več različnih zlonamernih programskih oprem, ki jih uporablja izključno Equation Group. To so:

  • EQUATIONDRUG –kompleksen napadalni vohunski program, ki se naloži na operacijski sistem in ga lahko napadalci spreminjajo ter prilagajajo glede na lastne potrebe pridobivanja informacij. S pomočjo programa lahko zbirajo gesla, pridobivajo izbrisane datoteke in prevzamejo delovanje celotnih omrežij ali  infrastruktur.
  • DOUBLEFANTASY – potrjevalni trojanski konj (validator-style Trojan), ki ugotavlja ali je okuženi računalnik dejanska tarča. V primeru potrjene tarče se le ta nadgradi v EQUATIONDRUG ali GRAYFISH.
  • TRIPLEFANTASY – stranska vrata (backdoor), pogosto uporabljena v tandemu z GRAYFISH. Posodobljena različica DOUBLEFANTASY.
  • GRAYFISH – najbolj sofisticirana napadalna platforma skupine. Deluje v registru in se zanaša na bootkit, da se lahko zažene ob zagonu sistema. Na disku okuženega računalnika ustvari skrit prostor za shranjevanje in izvrševanje zlonamernih ukazov, ki je dostopen le Equation group.
  • FANNYračunalniški črv ustvarjen v letu 2008 in uporabljen za zbiranje informacij o tarčah na Bližnjem vzhodu in drugod po Aziji. Fanny izrablja 2 ranljivosti ničtega dne, ki so bile kasneje odkrite s Stuxnetom. Lahko se infiltrira celo v omrežja, ki niso povezana na svetovni splet. To stori preko okuženega USB ključka ali drugega fizičnega medija.
  • EQUATIONLASER – zgodnejša različica DOUBLEFANTASY in EQUATIONDRUG uporabna na Windows 95/98.
  • REPROGRAMIRANJE TRDEGA DISKA – s pomočjo modula nls_933w.dll lahko reprogramirajo trdi disk in nanj naložijo podatke, ki so tako obstojni, da lahko ostanejo zapisani tudi po formatiranju diska in ponovni inštalaciji operacijskega sistema. Prav tako pa lahko na disk zapiše na skrivaj vmesnik za namensko programiranje.

Seznam izrab ranljivosti[uredi | uredi kodo]

Spodaj so naštete ranljivosti, ki jih je izrabljala skupina Equation Group, odkril pa jih Kaspersky Lab. Nekatere med njimi so že bile odpravljene. Te so:

  • TTF exploit popravljen z MS12-034[1] (CVE[1]-2012-0159)
  • TTF exploit popravljen z MS13-081[2] (CVE-2013-3894)
  • LNK ranljivost uporabljena v Stuxnet. (CVE-2010-2568)
  • CVE-2013-3918 (Internet Explorer)
  • CVE-2012-1723 (Java)
  • CVE-2012-4681 (Java)
  • Windows Kernel EoP exploit uporabljen v Stuxnet 2009 (atempsvc.ocx), popravljen z MS09-025. (CVE neznan)

Okužbe z zlonamerno programsko opremo Equation Group[2][uredi | uredi kodo]

Skupina uporablja več tehnik, s katerimi okuži žrtve. Te vključujejo:

  • Koda, ki se sama reproducira - Fanny
  • Fizični mediji, CD-ROM
  • USB ključki
  • Zlorabe, ki se nahajajo na spletu

Zlasti so zanimivi napadi z uporabo fizičnih medijev (CD-Romov), saj nakazujejo na uporabo tehnike prestrezanja, kjer napadalci prestrežejo pošiljko blaga in ga zamenjajo z okuženo verzijo. To se je zgodilo udeležencem znanstvene konference v Houstonu. Po vrnitvi domov, so prejeli kopijo CD-ROM/zgoščenke/diska z materiali s konference, ob uporabi tega diska, se je na računalnik naložila programska oprema DoubleFantasy. S tem je skupina pridobila dostop do okuženih računalnikov. Metode, ki jih uporabljajo za prestrezanje CD-jev so še vedno neznane.

Žrtve[uredi | uredi kodo]

Žrtve napadov prihajajo iz več kot trideset različnih držav po celem svetu. Do sedaj so odkrili napade v Belgiji, Franciji, Nemčiji, Rusiji, Združenem kraljestvu Velike Britanije in Severne Irske, Švici, Mehiki, Združenih državah Amerike, Afganistanu, Iranu, Siriji, Kazahstanu, Hong Kongu, Maleziji, Združenih Arabskih Emiratih, Iraku, Libiji, Somaliji, Nigeriji, Ekvadorju, Sudanu, Libanonu, Palestini, Singapurju, Katarju, Pakistanu, Jemnu, Maliju, Bangladešu, Južno Afriški Republiki, Indiji, Braziliji in na Filipinih.

Equation Group svoje napade in aktivnosti primarno usmerja v tarče, ki upravljajo s pomembnimi podatki na najvišjih nivojih države ali gospodarstva. Med najpogostejše tarče sodijo:

  • Vlade in diplomatske insitucije
  • Telekomunikacije
  • Zračni promet
  • Energija
  • Nuklearne raziskave
  • Petrokemična industrija
  • Vojska
  • Nanotehnologija
  • Islamistični aktivisti in strokovnjaki
  • Množični mediji
  • Transport
  • Finančne institucije
  • Podjetja, ki razvijajo kriptografsko tehnologijo

Veliko okužb z zlonamernimi programi skupine Equation Group je bilo zaznanih na strežnikih, pogosto na krmilnikih domen, bazah podatkov in spletnih gostovanjih. Hkrati imajo okužbe vkodirane mehanizme za samouničenje. Povprečno, naj bi bili odgovorni za približno 2000 napadov na uporabnike na mesec. Sama okužba nujno še ne pomeni izrabe - če okužena žrtev ni tarča skupine, z napadom ne nadaljujejo.


Nadzorni centri (C&C infrastructure)[uredi | uredi kodo]

Equation Group ima obširno nadzorno infrastrukturo, ki vključuje več kot 300 domen in 100 strežnikov, ki gostujejo po vsem svetu. Znani so strežniki v ZDA, Veliki Britaniji, Italiji, Nemčiji, na Nizozemskem Panami, Kostariki, Kolumbiji in na Češkem.

Vse domene nadzornih centrov naj bi bile registrirane preko večjih ponudnikov domen (npr. Domains by Proxy), da zakrinkajo lastne podatke.

Izbira žrtev[uredi | uredi kodo]

Skupina Equation Group izbera žrtve z izjemno natančnostjo, njihov namen pa je navadno onemogočiti delovanje tarče ali pridobiti zaupne informacije. V nekaterih primerih, ko usmerjen napad ni potreben oziroma mogoč, izbirajo žrtve s pomočjo potrjevalnega trojanskega konja DOUBLEFANTASY.

Mediji in Equation Group[uredi | uredi kodo]

Kaspersky Lab[uredi | uredi kodo]

Direktor ekipe za raziskovanje in analizo zaposlen v podjetju Kaspersky Lab Costin Raiu o Equation Group pravi: "Menim, da ima Equation Group najbolj kul igrače. Vsake toliko jih delijo s skupinama Stuxnet in Flame. Oni so definitivno mojstri in to kar delijo z drugimi so le kruhove drobtinice."[3]

Comae Technologies[uredi | uredi kodo]

Glede na analizo, ki jo je opravilo podjetje Comae Technologies segajo primeri vdorov Equation Group v gospodarsko vplivna podjetja in kraje njihovih dokumentov v leto 2013. Ti dokumenti vsebujejo različna orodja za kontrolo usmerjevalnikov in požarnega zidu podjetij Cisco Systems, Juniper, Fortigate in Topsec (Kitajska). Neodvisna analiza, ki jo je opravilo podjetje Risk Based Security pa je ugotovila, da je IP naslov s katerega naj bi bil izveden napad vseboval podatke o IP naslovu, ki pripada ameriškemu ministrstvu za obrambo[4]

Povezava z Nacionalno varnostno agencijo (NSA)[uredi | uredi kodo]

Po poročanju Ars Technice leta 2015 naj bi Equation Group izvajala ene izmed najbolj dovršenih znanih hekerskih operacij na svetu. Uporaba iste ranljivosti ničtega dne v črvu Stuxnet, ki je prekinil iranski nuklearni program in v zlonamerni programski opremi Flame, ki je delovala predvsem na Bližnjem Vzhodu, in v zlonamerni programski opremi Equation Group, demonstrira jasno povezavo med Equation Group in NSA [5].

Seznam spletnih strani, na katerih so/so bili odkriti nadzorni centri[uredi | uredi kodo]

DoubleFantasy

  • advancing-technology.com
  • Avidnewssource.com
  • Businessdealsblog.com
  • Businessedgeadvance.com
  • charging-technology.com
  • Computertechanalysis.com
  • globalnetworkanalys.com
  • melding-technology.com
  • selective-business.com
  • slayinglance.com
  • technicaldigitalreporting.com
  • Timelywebsitehostesses.com
  • www.dt1blog.com
  • www.forboringbusinesses.com

EquationDrug

  • newjunk4u.com
  • Easyadvertonline.com
  • ad-noise.net
  • ad-void.com
  • Aynachatsrv.com
  • damavandkuh.com
  • Fnlpic.com
  • monster-ads.net
  • nowruzbakher.com
  • Sherkhundi.com
  • quik-serv.com
  • Nickleplatedads.com
  • Arabtechmessenger.net
  • Amazinggreentechshop.com
  • Foroushi.net
  • technicserv.com
  • goldadpremium.com
  • honarkhaneh.net
  • parskabab.com
  • technicupdate.com
  • technicads.com
  • customerscreensavers.com
  • darakht.com
  • ghalibaft.com
  • adservicestats.com
  • webbizwild.com
  • roshanavar.com
  • afkarehroshan.com
  • thesuperdeliciousnews.com
  • adsbizsimple.com
  • goodbizez.com
  • meevehdar.com
  • Downloadmpplayer.com
  • honarkhabar.com
  • techsupportpwr.com
  • webbizwild.com
  • zhalehziba.com
  • serv-load.com
  • wangluoruanjian.com
  • islamicmarketing.net
  • noticiasftpsrv.com
  • Coffeehausblog.com
  • platads.com
  • havakhosh.com
  • toofanshadid.com
  • bazandegan.com
  • sherkatkonandeh.com
  • mashinkhabar.com
  • quickupdateserv.com

GrayFish

  • ad-noise.net
  • business-made-fun.com
  • businessdirectnessource.com
  • charmedno1.com c
  • ribdare2no.com
  • dowelsobject.com
  • following-technology.com
  • forgotten-deals.com
  • functional-business.com
  • housedman.com
  • industry-deals.com
  • listennewsnetwork.com
  • phoneysoap.com
  • posed2shade.com
  • quik-serv.com
  • rehabretie.com
  • speedynewsclips.com
  • teatac4bath.com
  • unite3tubes.com
  • unwashedsound.com

TripleFantasy

  • arm2pie.com
  • brittlefilet.com
  • cigape.net
  • crisptic01.net
  • fliteilex.com
  • itemagic.net
  • micraamber.net
  • mimicrice.com
  • rampagegramar.com
  • rubi4edit.com
  • rubiccrum.com
  • rubriccrumb.com
  • team4heat.net

Naslovi serverjev za zlorabo

  • standardsandpraiserepurpose.com
  • suddenplot.com
  • technicalconsumerreports.com
  • technology-revealed.com

Glej tudi...[uredi | uredi kodo]

Vrste zlonamernih programov

Informacijska varnost

Protivirusni program

Požarni zid

Kibernetski kriminal

Izsiljevalsko programje

List of hacker groups

Sklici in opombe[uredi | uredi kodo]

  1. »Equation group questions and answers« (PDF). Arhivirano iz prvotnega spletišča (PDF) dne 17. februarja 2015. Pridobljeno 23. januarja 2018.
  2. Equation group elita kibernetskega vohunjenja
  3. How omnipotent hackers tied to the NSA hid for 14 years and were found at last
  4. Equation Group dostopala do podatkov z NSA povezanih hekerskih skupin
  5. Najdena koda, ki razkriva z NSA povezano hekersko skupino