A Kaspersky Lab globális kutató és elemző csapata (GReAT, Global Research and Analysis Team) több éve szorosan figyelemmel kísért több mint 60 olyan fejlett fenyegetést, amelyek világszerte kibertámadások soráért tehetők felelőssé. Most azonban a cég szakértői megerősítették, hogy sikerült megtalálniuk azt a fenyegetést, amely összetettebb és kifinomultabb minden eddig ismertnél, és amely közel két évtizedig működött – ez pedig nem más, mint az Equation csoport.
2001 óta az Equation csoport több ezer – egyes feltételezések szerint több tízezer – áldozatot fertőzött meg a világ több mint 30 országában. A támadások a következő szektorokat érintették: kormányzati és diplomáciai szervezetek, távközlés, légiközlekedés, energia, nukleáris kutatás, olaj és gáz, katonaság, nanotechnológia. Célpontok voltak továbbá az iszlám aktivisták és tudósok, a tömegmédia, a közlekedés, a pénzintézetek és olyan vállalatok, amelyek titkosítási technológiákat fejlesztenek. Az Equation csoport kiterjedt C&C infrastruktúrát használ, amely több mint 300 domaint és több mint 100 szervert tartalmaz. Ezeket a szervereket számos országban üzemeltetik, köztük az Egyesült Államokban, az Egyesült Királyságban, Olaszországban, Németországban, Hollandiában, Panamában, Costa Rica-ban, Malajziában, Kolumbiában és a Cseh Köztársaságban. A Kaspersky Lab jelenleg a 300 C&C szerverből néhány tucatot sinkholing technikával vizsgál. Az áldozatok megfertőzéséhez a csoport a legfejlettebb malware-ek egész sorát használja. A GReAT-nek sikerült azonosítania két olyan modult, amely lehetővé teszi a merevlemez firmware-jének átprogramozását több tucat ismert merevlemez-márka esetében. Talán ez lehet az Equation csoport leghatékonyabb eszköze, és az első olyan ismert malware, amely képes a merevlemezek megfertőzésére.
Azáltal, hogy a merevlemez firmware-jét átprogramozta (azaz átírta a merevlemez operációs rendszerét), a csoport két célt is elért egyszerre:
1. Egy olyan, extrém méreteket öltő túlélőképességet, amely segít abban, hogy a malware átvészelje mind a lemezformázást, mind az operációs rendszer újratelepítését. Ha a malware bekerül a firmware-be, képes lesz arra, hogy örökké “feltámassza” magát. Megakadályozhatja egy lemezszektor törlését vagy felcserélheti azt egy rosszindulatú tartalmú szektorral a rendszer újraindulása alatt.
2. Annak a képességét, hogy létrehozzon egy láthatatlan, tartósan fennálló rejtett területet a merevlemezen belül. Ez szolgál az ellopott adatok tárolására, amelyeket a támadók később letöltenek maguknak. Valamint néhány esetben segít a csoportnak abban, hogy a titkosítást feltörjék:
Mindemellett az Equation csoport a Fanny nevű férget is használta, amelynek elsődleges feladata az volt, hogy feltérképezze az izolált hálózatokat, más szóval megismerje a nem elérhető hálozatok topologiáját, és ezeken az elszigetelt rendszereken hajtson végre parancsokat. Ehhez egy különleges, USB-alapú parancs és vezérlő mechanizmust használt, amely lehetővé teszi a támadóknak, hogy oda-vissza mozgassák az izolált hálózatok adatait. Egész pontosan egy fertőzött, rejtett tárterülettel rendelkező USB memóriát használtak az alapvető rendszerinformációk kinyerésére egy olyan számítógépből, amely nincs az internethez csatlakoztatva. Amikor aztán ezt az USB-memóriát egy, a Fanny-val fertőzött olyan gépbe helyezték, amely kapcsolódik az internethez, az azonnal továbbküldte az adatokat a C&C szervernek. Ha a támadók az izolált hálózatban akartak parancsokat végrehajtani, akkor elmentették ezeket a parancsokat az USB-memóra rejtett területére. Amikor egy izolált számítógépbe helyezték az USB-memóriát, a Fanny felismerte a parancsokat és végrehajtotta őket.
Ráadásul annak is jelei vannak, hogy az Equation csoport együttműködött más hackercsoportokkal, például a Stuxnet és a Flame üzemeltetőivel, méghozzá felettes pozícióban. Az Equation csoport korábban tudott nulladik napi támadásokat akalmazni, mint a Stuxnet és a Flame, és néhányszor meg is osztották a kihasználó kódokat másokkal. Például 2008-ban a Fanny két olyan nulladik napi kihasználást alkalmazott, amelyeket a Stuxnet csak 2009 júniusában és 2010 márciusában vett fel az eszköztárába. Az egyikük egy, a Flame-től átvett modul volt. A szakértők az Equation csoport által a malware-ében használt hét kihasználó modult azonosított. Legalább négyet közülük nulladik napi támadásként használtak. Ismeretlen kihasználó modulokat is azonosítottak, amelyeket a Tor hálózathoz használt Firefox 17 böngésző ellen vetettek be. A fertőzési folyamat során a csoport képes volt egymás után tíz kihasználó modult futtatni. Azonban a szakértők azt figyelték meg, hogy sosem használtak háromnál többet. Ha az első nem sikeres, akkor megpróbálkoznak még eggyel, majd egy harmadikkal. Ha mindhárom elbukik, akkor nem fertőzik meg a rendszert.
