Američka NSA za špijuniranje godinama koristi malver u firmwareu hard diskova

Vesti, 18.02.2015, 00:30 AM

Kaspersky Lab je otkrio operaciju sajber špijunaže grupe koju su istraživači ruske kompanije nazvali Equation i koja je, prema njihovim rečima, “verovatno jedna od najsofisticiranijih grupa u svetu” i “najnaprednija” od svih koje su oni ikad videli. Iako se ne zna kada je grupa Equation započela sa svojim aktivnostima, neki dokazi govore da je ona aktivna skoro dvadeset godina.

Grupa Equation je godinama inficirala hiljade, a možda i desetine hiljada računara širom sveta, i to pre svega, u državnim i diplomatskim institucijama, telekomunikacijskim kompanijama, avio kompanijama, energetskim, naftnim i gasnim kompanijama, vojnim organizacijama i institucijama koje se bave nuklearnim istraživanjima, medijima, transportnim kompanijama, finansijskim institucijama, medijima, kompanijama koje razvijaju tehnologije enkripcije, ali i računare islamskih aktivista i naučnika. Žrtve ove grupe su iz više od 30 zemalja iz celog sveta.

Grupa je koristila arsenal veoma moćnih i kompleksnih alata čiji je razvoj zahtevao mnogo ulaganja. Ti takozvani “implanti”, kako grupa zove svoje trojance, istraživači Kaspersky Laba nazvali su EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY i GRAYFISH. Iz Kaspersky Laba kažu da je sasvim izvesno da ovi alati nisu jedini koje je grupa koristila, ali da ostale alate tek treba identifikovati i imenovati.

Sama grupa je koristila tajna imena za svoje alate, kao što su SKYHOOKCHOW, UR, KS, SF, STEALHFIGHTER, DRINKPARSLEY, STRAIACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER i GROK.

Neki od najmoćnijih alata iz arsenala grupe Equation su moduli EquationDrug i GrayFish. Oni omogućavaju reprogramiranje firmwarea hard diskova na desetine različitih proizvođača, uključujući i Seagate, Western Digital, Toshiba, Maxtor i IBM.

Reprogramiranjem firmwarea hard diska, grupa je obezbeđivala opstanak malvera tako da preživi formatiranje diska i reinstalaciju operativnog sistema. Ako bi malver dospeo u firmware, on je mogao da “oživljava” unedogled. Modul je mogao da spreči brisanje određenih sektora diska ili da ih zameni malicioznim tokom pokretanja operativnog sistema.

“Druga opasnost je što kada se hard disk inficira ovim malicioznim payloadom, nemoguće je skenirati njegov fimrware. Da pojednostavimo: za većinu hard diskova postoje funkcije za upis u fimrware hardvera, ali nema funkcija da se to pročita. To znači da smo praktično slepi, i ne možemo da detektujemo hard diskove inficirane ovim malverom”, kaže Kostin Raiu, direktor tima za globalno istraživanje i analizu u kompaniji Kaspersky Lab.

Reprogramiranje firmwarea omogućava kreiranje nevidljivog, postojanog sektora skrivenog unutar hard diska. On se koristi za čuvanje izvučenih inormacija koje napadači kasnije mogu uzeti. Takođe, u nekim slučajevima oni mogu pomoći grupi da razbije enkripciju.

GrayFish se može instalirati u MBR (master boot record) računara, koji se učitava pre operativnog sistema i čuva sve svoje podatke u delu operativnog sistema koji je poznat kao registry, u kome se normalno čuvaju konfiguracijski podaci.

EquationDrug je korišćen na starijim verzijama Windowsa i nekim pluginovima koji su prvobitno dizajnirani da budu korišćeni na Windows 95/98/ME, što ukazuje da grupa Equation postoji već dugi niz godina.

Tokom prethodnih dvadesetak godina, grupa Equation je izvela mnogo različitih napada. Napad crva Fanny se ipak izdvaja. On je aktivan od 2008., a prvi put su ga sistemi Kaspersky Laba uočili i blokirali u decembru iste godine. Fanny je za širenje koristio Stuxnet LNK exploit i USB stikove. Za eskalaciju privilegija, Fanny je koristio bezbednosni propust koji je Microsoft ispravio ažuriranjem MS09-025, a koju je takođe koristila jedna od prvih verzija Stuxneta iz 2009.

Zanimljivo je da je Fanny koristio ova dva exploita pre nego što su oni integrisani u Stuxnet, što ukazuje da je grupa Equation imala pristup ovim 0-day exploitima pre grupe Stuxnet. Jedan od 0-day exploita u Stuxnetu je ustvari bio Flame modul koji je koristio istu ranjivost i koji je uzet iz Flame platforme i ugrađen u Stuxnet.

Glavni cilj crva Fanny je bio mapiranje kompjutera koji su izolovani od nebezbednih mreža (air-gapped). Da bi to postigao, Fanny je koristio komande na USB-u i kontrolni mehanizam koji je omogućavao prolaz podataka prema i od ovakvih kompjutera.

Konrektno, inficirani USB stik sa sakrivenim skladišnim prostorom je korišćen za prikupljanje osnovnih informacija o sistemu sa komjutera koji nije povezan sa internetom, koje se šalju C&C serveru kada se USB stik priključi na kompjuter inficiran crvom Fanny i to kada je računar povezan sa internetom. Ako bi napadači želeli da izdaju komande na izolovanim mrežama, oni ih mogu sačuvati u tim skrivenim sektorima na USB stiku. Kada se stik priključi na izolovani računar, Fanny prepoznaje komande i izvršava ih.

Grupa Equation koristi jedinstvene metode za infekaciju računara ciljeva. To osim infekcije preko weba, uključuje i fizički svet - presretanje fizičkih dobara i zamenjivanje trojanizovanim replikama. U jednom slučaju, na primer, ciljevi su bili učesnici naučne konferencije u Hjustonu. Kada su se naučnici vratili kućama, neki od učesnika konferencije dobili su kopiju konferencijskog materijala na CD-u koji je iskorišćen za instalaciju implnta DoubleFantasy na računarima ciljeva.

Neki dokazi otkrivaju čvrste veze koje je grupa Equation imala sa drugim grupama, kao što su Stuxnet i Flame, ali uvek sa pozicije moćnijeg. To dokazuje činjenica da su imali pristup nekim 0-day exploitima pre grupa Stuxnet i Flame, ali i to da su u nekom trenutku grupe delile exploite.

Grupa Equation je koristila infrastrukturu za komandu i kontrolu (C&C) koja uključuje više od 300 domena i više od 100 servera u različitim zemljama, uključujući Veliku Britaniju, SAD, Italiju, Nemačku, Holandiju, Panamu, Kostariku, Maleziju, Kolumbiju i Češku.

Istraživači Kaspersky Laba su otkrili sedam exploita koje je koristila grupa Eqution, od kojih su najmanje četiri 0-day exploiti.

Tokom faze infekcije, grupa je mogla da koristi i deset exploita u nizu. Međutim, istraživači su primetili da nikada nije korišćeno više od tri exploita. Ako prvi ne bi bio uspešan, grupa bi probala sa drugim, a zatim u slučaju neuspeha i sa trećim. Ako bi sva tri exploita bila neuspešna, grupa ne bi inficirala sistem.

Kaspersky Lab je odbio da javno imenuje državu ili agenciju koja stoji iza ove operacije, ali ukazivanje na povezanost sa Stuxnetom, vodećim sajber oružjem američke Nacionalne bezbednosne agencije (NSA) koje je korišćeno za sabotažu iranskih postojenja za obogaćivanje uranijuma, jasno govori ko bi mogao biti osumnjičeni u ovom slučaju.

Osim toga, na to bi mogla ukazati i činjenica da je najveći broj infekcija koje je otkrio Kaspersky Lab otkriven u zemljama koje su često mete američkog špijuniranja, kao što su Kina, Iran, Pakistan i Rusija.

Izvor Rojtersa, koji je nekada radio u NSA, potvrdio je otkriće i analizu Kaspersky Laba, kao i da je agencija odgovorna za ovu operaciju.

NSA je odbila da komentariše ovaj izveštaj Kaspersky Laba.