קבוצת המשוואה, כוננים קשיחים וכוכב המוות של תוכנות זדוניות


חוקרים במעבדת קספרסקי חשפו מערך כלים חדש לריגול סייבר שיש בו יותר מדמיון חולף לערכות דומות המשמשות סוכנויות ביון אמריקאיות..

בדו”ח שפורסם ביום שני שעבר, פירמה חברת האבטחה מבוססת מוסקבה את כלי ההתקפה שלדבריהם נוצרו על ידי “קבוצת המשוואה”.

קבוצת ההאקרים, טוענת קספרסקי, הסתננה בהצלחה לאלפי סוכנויות ממשלתיות במה שהיא מתארת ​​כ”כוכב המוות “של תוכנות זדוניות..

הרשימה הארוכה של הקורבנות כוללת גופים צבאיים, מוסדות ממשלתיים ודיפלומטיים, מנהיגים אסלאמיים ואלפי חברות ברחבי תעופה וחלל, פיננסים, מדיה, אנרגיה וטכנולוגיה..

ניתוח של תשתית הפיקוד והבקרה של קבוצת המשוואה העלה את התפשטותה הרחבה, הכולל כ -300 דומיינים וכן למעלה ממאה שרתים הממוקמים בארה”ב, בריטניה, איטליה, גרמניה, פנמה, קוסטה ריקה, מלזיה, קולומביה, צ’כיה ורבים אחרים.

קספרסקי תיאר אוסף כלים המשמשים את המשוואה, וכינה אותם כ:

  • EQUATIONDRUG – פלטפורמת תקיפה מורכבת מאוד ששימשה את הקבוצה על קורבנותיה. הוא תומך במערכת תוספים מודולית, אותה ניתן להעלות ולפרוק באופן דינמי על ידי התוקפים.
  • הכפלה – טרויאני בסגנון validator, שנועד לאשר שהיעד הוא זה המיועד. אם המטרה אושרה, הם משודרגים לפלטפורמה מתוחכמת יותר כמו EQUATIONDRUG או GREYFISH.
  • אקסטר – זהה ל- EQUATIONDRUG.
  • טריפלנטיות – דלת אחורית בעלת כל התכונות המשמשות לפעמים במקביל גרייפיש. נראה כמו שדרוג של DOUBLEFANTASY, ואולי הוא תוסף מעודכן יותר בסגנון validator.
  • גרייפיש – פלטפורמת ההתקפה המשוכללת ביותר מקבוצת EQUATION. הוא שוכן לחלוטין ברישום, וסומך על ערכת אתחול שתשיג ביצוע בהפעלה של מערכת ההפעלה.
  • פאני – תולעת מחשבים שנוצרה בשנת 2008 ומשמשת לאיסוף מידע על יעדים במזרח התיכון ובאסיה. נראה כי חלק מהקורבנות שודרגו תחילה ל- DoubleFantasy, ולאחר מכן למערכת EQUATIONDRUG.
    פאני השתמשה במנצלות לשתי פגיעויות של אפס יום אשר התגלו לאחר מכן באמצעות Stuxnet.
  • אקווסטלאזר – שתל מוקדם מקבוצת EQUATION, ששימש בערך 2001-2004. תואם ל- Windows 95/98 ונוצר מתישהו בין DOUBLEFANTASY ל- EQUATIONDRUG.

חוקרי קספרסקי הזהירו גם כי סביר להניח כי רשימת הכלים אינה ממצה, מה שמציע כי למשוואה יתכן ויהיו עוד הפתעות לאביב..

באופן מדאיג, לכמה מהכלים שגילה קספרסקי יש קווי דמיון עם פייבוריטים ישנים, כולל תוכנת הזדון “להבה” ו”סטוקסנט “, שכוונו לכורים גרעיניים איראניים בהנחיית נשיא ארצות הברית, ברק אובמה..

כלי המשוואה התגלו ב”עשרות מותגי HDD פופולריים “, ולדברי קוסטין ראיו, מנהל צוות המחקר והניתוח העולמי של מעבדת קספרסקי, הצליחו להישאר גם בלתי מורגשים וגם בלתי ניתנים להסרה – התוכנה הזדונית הדביקה את הקושחה בכוננים, ומאפשרת לה “להחיות מחדש” את עצמו, גם לאחר פורמט מחדש של הכונן או התקנת מערכת ההפעלה מחדש.

Raiu הסביר:

“ברגע שהכונן הקשיח נדבק בעומס הזדוני הזה, אי אפשר לסרוק את הקושחה שלו. במילים פשוטות: לרוב הכוננים הקשיחים יש פונקציות לכתוב לתחום החומרה / קושחה, אך אין פונקציות שיקראו אותה חזרה.

זה אומר שאנחנו ממש עיוורים ולא יכולים לאתר כוננים קשיחים שנדבקו בתוכנה זדונית זו. “

בעזרת הכלי Grayfish, משוואה יוצרת גם שטח נסתר ומתמשך בכונן הקשיח המשמש לאחר מכן לשמירת נתונים גנובים אשר על ידי התוקפים ניתן לאסוף במועד מאוחר יותר ומשמשים לשבירת פרוטוקולי הצפנה. Raiu הסביר כיצד Grayfish פועל על האתחול, מה שהופך את לכידת הסיסמאות המוצפנות לרוח יחסית.

גישה לרשת למכונות אינה אפילו תנאי הכרחי להעברת המשוואה לכונן – Raiu הסביר כי רכיב הפאני היה בעל עניין מיוחד מכיוון שיש לו את היכולת לעקוף את ההגנות על האוויר והיה ניתן להפיץ אותו באמצעות “פקודה ייחודית מבוססת USB ו- מנגנון בקרה “באמצעות מקלות USB עם מחיצה נסתרת שניתן להשתמש בהם כדי לאסוף נתוני מערכת ממערכת בעת התקנתם ומופעלת.

כאשר מאוחר יותר מחובר מקל ה- USB למערכת עם קישוריות לאינטרנט הוא יעביר את הנתונים המאוחסנים לשרתי הפקודה והבקרה שלו.

קספרסקי החל לעקוב אחר קבוצת המשוואה לאחר ניתוח מחשב השייך למכון מחקר במזרח התיכון בשנת 2008. הוא גילה את רכיב פאני המשמש לתקיפת פגיעויות לא ידועות עם שני מעלולים של אפס יום, ששניהם התגלו לאחר מכן כקודדו ל- Stuxnet.

למרות דמיון דיגיטלי כה חזק למרכיבי Stuxnet, דובר ה- NSA לא היה מאשר את מעורבות ארה”ב במשוואה, באומרו כי הסוכנות הייתה מודעת לדו”ח אך לא רצתה לדון או להעביר כל תגובה עליו..

תמונה מוצגת: איאן בוניאן / Public Domain Pictures.net

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map