Especialistas de segurança informática anunciaram a descoberta de uma perigosa ameaça cibernética, considerada a mais complexa e sofisticada desenvolvida até hoje.
A investigação foi conduzida pela equipa de analistas GREAT da Kaspersky Lab que, durante vários anos, acompanhou de perto mais de 60 hackers responsáveis por alguns dos mais perigosos e avançados ciberataques em todo o mundo.
De acordo com os investigadores, os ataques informáticos são cada vez mais sofisticados, de forma a ultrapassar as defesas cibernéticas implementadas pelos Estados, empresas ou instituições.
A ameaça, agora revelada, é conduzida pelo Equation Group e supera tudo o que se conhecia até hoje em termos de complexidade e sofisticação de técnicas e, mais grave ainda, tem estado activa durante quase duas décadas.
Segundo os investigadores da Kaspersky Lab, este grupo é único em quase todos os aspectos das suas actividades: utiliza ferramentas que são muito complicadas e caras de desenvolver, com o objectivo de infectar as vítimas, recolher dados e ocultar a actividade de uma maneira extraordinariamente profissional, utilizando técnicas de espionagem clássica para infectar as suas vítimas.
Com efeito, para infectar os seus alvos, o Equation Group utiliza um potente arsenal de “implantes” (Trojans), incluindo os seguintes: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny e GrayFish.
O que torna o Equation Group único?
Persistência e invisibilidade: a equipa GREAT conseguiu recuperar dois módulos que permitem uma reprogramação do firmware do disco rígido de mais de uma dezena de marcas populares de HDD. Esta é talvez a ferramenta mais poderosa do Equation Group e o primeiro malware conhecido capaz de infectar discos rígidos.
Reprogramando o firmware do disco (ou seja, voltar a escrever o sistema operativo do disco rígido), o grupo atinge dois propósitos:
- Um nível de persistência extremo que ajuda a sobreviver à formatação do disco e à reinstalação do sistema operativo. Se o malware se infiltra no firmware, está pronto a “ressuscitar” para sempre.
“Outra coisa perigosa é que, assim que o disco rígido é infectado com esta carga maliciosa, torna-se impossível analisar o seu firmware. Em poucas palavras: para a maioria dos discos rígidos existem funções para escrever na área de firmware do hardware, mas não existem funções para ler de novo. Significa que estamos praticamente cegos e não podemos detectar os discos rígidos que foram infectados por este malware”- adverte Costin Raiu, director da Equipa de Investigação e Análise Global da Kaspersky Lab.
- A capacidade de criar uma zona invisível, persistente, oculta dentro do disco. Utiliza-se para guardar informação extraída que pode ser posteriormente recuperada pelos ciberatacantes. Além disso, em alguns casos pode ajudar o grupo a cancelar a encriptação.
“Uma vez que o implante GrayFish está activo desde o arranque do sistema, têm a capacidade de capturar a password de encriptação e guardá-la nesta zona oculta “, explica Costin Raiu.
Capacidade para recuperar dados de redes isoladas: o worm Fanny destaca-se entre todos os ataques perpetrados pelo Equation Group. O seu objectivo principal é mapear redes com “air gap”, ou seja, entender a topologia de uma rede que não pode ser alcançada e executar comandos para esses sistemas isolados. Para tal, utiliza-se um mecanismo de controlo e comando alojado num USB que permite aos atacantes intercambiar dados entre redes com “air gap”.
Mais concretamente, um USB infectado apresenta uma zona de armazenamento oculta que é utilizada para recolher informação básica do sistema de um computador não ligado à Internet, que depois é enviada para o C&C quando o dispositivo USB se liga a um equipamento infectado pelo Fanny com acesso à Internet. Se os atacantes querem executar comandos nas redes “air gap” podem fazê-lo guardando-os na zona oculta do USB. Quando este USB é introduzido num equipamento “air gap”, o worm Fanny reconhece os comandos e executa-os.
Métodos clássicos de espionagem para propagar malware: os cibercriminosos utilizaram métodos universais para chegar aos seus objectivos tanto através da web como no mundo real. Para tal, interceptavam objectos físicos e substituíam-nos por versões infectadas; por exemplo, os participantes de uma conferência científica em Huston receberam uma cópia do material do evento num CD-ROM que foi utilizado para instalar o malware Double Fantasy nos equipamentos alvo.
Amigos famosos: Stuxnet e Flame
Existem evidências que relacionam o Equation Group a outros grupos poderosos como os operadores Stuxnet e Flame. Alias, o Equation Group teve acesso a zero-days antes de terem sido usados pelo Stuxnet e pelo Flame e, em determinadas alturas, chegaram mesmo a partilhar exploits .
Por exemplo: em 2008 o malware Fanny utilizou dois zero-days que foram introduzidos no Stuxnet em Junho de 2009 e Março de 2010. Um desses zero-days do Stuxnet era, na realidade, um módulo do Flame que explora a mesma vulnerabilidade e que foi extraído directamente da plataforma do Flame para ser introduzido no Stuxnet.
Infra-estrutura potente e geograficamente distribuída
O Equation Group utiliza uma extensa infra-estrutura C&C que inclui mais de 300 domínios e mais de 100 servidores. Os servidores estão alojados em múltiplos países, incluindo Estados Unidos, Reino Unido, Itália, Alemanha, Holanda, Panamá, Costa Rica, Malásia, Colômbia e República Checa. A Kaspersky Lab está actualmente ‘a sequestrar’ algumas dezenas dos 300 servidores C&C.
Milhares de vítimas de alto perfil em todo o mundo
Desde 2001, o Equation Group infectou milhares, ou até mesmo dezenas de milhares, de vítimas em mais de 30 países em todo o mundo, dos seguintes sectores: instituições governamentais e diplomáticas, telecomunicações, indústria aeroespacial, energia, investigação nuclear, petróleo e gás, nanotecnologia, activistas islâmicos e escolares, meios de comunicação, transporte, instituições financeiras e empresas que desenvolvem tecnologias de encriptação.
Detecção
A Kaspersky Lab observou sete exploits que o Equation Group usava no seu malware. Pelo menos quatro deles foram usados como zero-day. Além disso, observou-se o uso de exploits desconhecidos, possivelmente zero-day, contra o Firefox 17, tal como no browser Tor.
Durante a fase de infecção, o grupo tinha a capacidade de usar dez exploits em cadeia. No entanto, os analistas da Kaspersky Lab perceberam que não usavam mais de três: se o primeiro não era bem-sucedido, experimentavam com outro e depois com o terceiro. Se os três exploits falhavam, decidiam não infectar o sistema.
Os produtos da Kaspersky detectaram um número de tentativas de ataque aos seus utilizadores. Muitos destes ataques não tiveram êxito devido à tecnologia de prevenção automática de exploits, que detecta e bloqueia genericamente a exploração de vulnerabilidades desconhecidas. O worm Fanny, presumivelmente agrupado em Julho de 2008, foi detectado pela primeira vez e integrado na lista negra dos nossos sistemas automáticos em Dezembro de 2008.
Informações detalhadas sobre o Equation group em: https://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/
