Группа Equation Group , классифицируемая как продвинутая постоянная угроза , представляет собой очень сложную угрозу , предположительно связанную с подразделением Tailored Access Operations (TAO) Агентства национальной безопасности США (АНБ). [1] [2] [3] «Лаборатория Касперского» описывает их как одну из самых изощренных групп кибератак в мире и «самую продвинутую (...) которую мы когда-либо видели», действующую вместе с создателями Stuxnet и Flame . [4] [5] Большинство их целей были в Иране , России , Пакистане , Афганистане , Индии , Сирии и Мали . [5]
Название произошло от широкого использования группой шифрования. К 2015 году «Лаборатория Касперского» зафиксировала 500 заражений вредоносным ПО , совершенных группой, по меньшей мере, в 42 странах, признавая при этом, что фактическое число может исчисляться десятками тысяч из-за протокола самозавершения. [5] [6]
В 2017 году WikiLeaks опубликовал дискуссию , проведенную в ЦРУ , о том, как удалось идентифицировать эту группу. [7] Один из комментаторов написал, что «группа Equation Group, обозначенная в отчете, относится не к конкретной группе, а скорее к набору инструментов», используемых для взлома. [8]
На саммите аналитиков безопасности Касперского, проходившем в Мексике 16 февраля 2015 года, «Лаборатория Касперского» объявила об открытии Equation Group. Согласно отчету «Лаборатории Касперского», группа действует как минимум с 2001 года и насчитывает более 60 участников. [9] Вредоносное ПО, используемое в их деятельности, получившее названия EquationDrug и GrayFish, способно перепрограммировать прошивку жесткого диска . [4] Из-за применения передовых методов и высокой степени секретности группу подозревают в связях с АНБ, однако «Лаборатория Касперского» не выявила лиц, стоящих за этой группой.
В 2015 году в исследованиях Equation Group, проведенных Касперским, отмечалось, что ее загрузчик «GrayFish» имел сходство с ранее обнаруженным загрузчиком «Gauss» [репозиторием] из другой серии атак, и отдельно отмечалось, что Equation Group использовала два нулевых дня. атаки, позже использованные в Stuxnet ; исследователи пришли к выводу, что «сходный тип использования обоих эксплойтов вместе в разных компьютерных червях примерно в одно и то же время указывает на то, что группа EQUATION и разработчики Stuxnet либо одинаковы, либо тесно сотрудничают». [10] : 13
Они также установили, что платформа время от времени распространялась путем запрета (перехвата законных компакт-дисков, отправленных организатором научной конференции по почте ), [10] : 15 , и что платформа обладала «беспрецедентной» способностью заражать и передаваться через встроенное ПО жестких дисков нескольких крупных производителей жестких дисков, а также создавать и использовать для своих целей скрытые области диска и виртуальные дисковые системы, что потребует доступа к исходному коду производителя , [10] : 16–18 и что инструмент был разработан с хирургической точностью, вплоть до исключения определенных стран по IP и разрешения таргетинга на определенные имена пользователей на дискуссионных форумах . [10] : 23–26
Внутри вредоносного ПО были обнаружены кодовые слова АНБ «STRAITACID» и «STRAITSHOOTER». Кроме того, временные метки во вредоносном ПО, похоже, указывают на то, что программисты работали в основном с понедельника по пятницу, что соответствует рабочему дню с 08:00 до 17:00 (8:00–17:00) в часовом поясе восточной части США. . [11]
Глобальная группа исследований и анализа Касперского, также известная как GReAT, заявила, что в 2008 году обнаружила вредоносное ПО, содержащее «privLib» Stuxnet. [12] В частности, оно содержало эксплойт LNK, обнаруженный в Stuxnet в 2010 году. Fanny классифицируется как червь. Это затрагивает некоторые операционные системы Windows и пытается распространиться через сетевое соединение или USB-накопитель . [репозиторий] Касперский заявил, что они подозревают, что Equation Group существует дольше, чем Stuxnet, основываясь на записанном времени компиляции Fanny. [4]
F-Secure утверждает, что вредоносная прошивка жесткого диска, разработанная Equation Group, представляет собой программу TAO «IRATEMONK», [13] один из элементов каталога ANT АНБ, опубликованного в статье Der Spiegel за 2013 год . IRATEMONK предоставляет злоумышленнику возможность постоянно устанавливать свое программное приложение на настольные и портативные компьютеры, несмотря на форматирование диска , удаление данных или переустановку операционной системы. Он заражает прошивку жесткого диска, которая, в свою очередь, добавляет инструкции в главную загрузочную запись диска , что приводит к установке программного обеспечения при каждой загрузке компьютера . [14] Он способен заражать некоторые жесткие диски компаний Seagate , Maxtor , Western Digital , Samsung , [14] IBM , Micron Technology и Toshiba . [4]
В августе 2016 года хакерская группа, называющая себя The Shadow Brokers , объявила, что украла вредоносный код у Equation Group. [15] «Лаборатория Касперского» заметила сходство между украденным кодом и ранее известным кодом из имеющихся у нее образцов вредоносного ПО Equation Group, включая особенности, уникальные для способа реализации Equation Group алгоритма шифрования RC6 , и поэтому пришла к выводу, что это объявление является законным. [16] Самые последние даты украденных файлов относятся к июню 2013 года, что побудило Эдварда Сноудена предположить, что вероятная изоляция, вызванная его утечкой информации о глобальных и внутренних усилиях АНБ по наблюдению, остановила взлом The Shadow Brokers Equation Group. Эксплойты против устройств Cisco Adaptive Security Appliance и межсетевых экранов Fortinet были описаны в некоторых образцах вредоносного ПО, выпущенных The Shadow Brokers. [17] EXTRABACON, эксплойт Simple Network Management Protocol против программного обеспечения Cisco ASA, на момент объявления был эксплойтом нулевого дня . [17] Компания Juniper также подтвердила, что ее брандмауэры NetScreen были затронуты. [18] Эксплойт EternalBlue использовался для проведения разрушительной всемирной атаки программы-вымогателя WannaCry .
SecureList
, Костин Райу (директор глобальной исследовательской и аналитической группы «Лаборатории Касперского»): «Мне кажется, что у Equation Group самые крутые игрушки. Время от времени они делятся ими с группой Stuxnet и группой Flame, но они изначально доступен только людям из Equation Group. Equation Group определенно мастера, и они дают остальным, может быть, хлебные крошки. Время от времени они дают им какие-нибудь вкусности для интеграции в Stuxnet и Flame».