Equation: Звезда Смерти вредоносных программ Галактики

Червь FannyДобрый день, уважаемые читатели моего блога. Сегодня, на канале Россия 24, услышал о «всемогущем» компьютерном черве Fanny. Он, якобы, может проникать на ПК даже не подключённые к сети Интернет, скрывается в прошивках жестких дисков, переживает форматирование. Короче, вирус "Я буду жить ВЕЧНО". Порыл в СЕТИ и нашёл статью от Лаборатории Касперского на англ. языке. Решил перевести её и опубликовать на своём сайте. 

Хьюстон, у нас проблемы

В один солнечный день 2009 года Ґжеґож Бженчишчикевич (от англ. Grzegorz Brzęczyszczykiewiczсел - вымышленный персонаж, прим. переводчика) сел на авиарейс до Хьюстона - растущего города, где он должен был участвовать в одной престижной научно-практической конференции международного масштаба.

Для такой персоны, как Ґжеґож - ведущего учёного в своей области, такие поездки были обычным делом. В течение нескольких следующих дней г-н. Бженчишчикевич успел обменяться визитными карточками с другими исследователями и обговорил круг вопросов, которые такие учёные высокого уровня как он будут обсуждать в дальнейшем. Но всё хорошее рано или поздно заканчивается, вот и конференция тоже завершилась. Ґжеґож Бженчишчикевич полетел обратно домой, увозя множество впечатлений от памятного события.

Через некоторое время, как это было принято на таких мероприятиях, организаторы конференции отправили всем её участникам CD-диски. На них было множество красочных фотографий с этого события. Ґжеґож запустил просмотр полученного CD на своем компьютере, он и не подозревал о том, что стал в тот момент одной из жертв практически всемогущей всемирной организации, специализирующейся на кибершпионаже. Не подозревал он и о том, что только что инфицировал свой ПК посредством трёх лазеек в системе безопасности, две из которых были "уязвимостями нулевого дня" (zero day).

Рандеву с "Богом" кибершпионажа

Достоверно не известно о том, когда группа Equation начала своё восхождение на ОЛИМП киберпреступности. Некоторые образцы вредоносного кода, которые мы видели были написаны в 2002 году; однако, их C&C (командно-контрольный сервер, прим. переводчика) был зарегистрирован в 2001г. Другие C&C использованные группой Equation, по видимому, были зарегистрированы ещё в 1996 году. Это косвенно свидетельствует о том, что данная группа активна уже несколько десятилетий. На протяжении многих лет они взаимодействовали с другими мощными группами, такими как Stuxnet и Flame.

Начиная с 2001 года, группа Equation была задействована в заражении тысяч, а может и десятков тысяч жертв по всему миру, которые специализировались в таких отраслях как: 

  • правительство и дипломатические учреждения;
  • телекоммуникация;
  • авиационно-космическая сфера;
  • энергетика;
  • ядерные исследования;
  • нефтегазовый сектор;
  • военный комплекс;
  • нанотехнологии;
  • исламские активисты и учёные;
  • СМИ;
  • транспорт;
  • финансовые учреждения;
  • компании, занимающиеся технологиями шифрования данных.

Для заражения своих жертв группа использует целый арсенал "имплантов" или троянов, как они их называют. В том числе слудующие из них: EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY и GRAYFISH. Нет сомнений и в том, что существуют другие трояны, которые нам ещё не известны и которые нам предстоит определить.

Сама группа имеет множество кодовых имен для своих интрументов и "имплантов", в том числе:  SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER и GROK. Это может показаться невероятным, как для такой элитной группы, но один из их разработчиков допустил непростительную ошибку. Он разместил своё имя: "RMGREE5" в одном из образцов вредоносной программы в его рабочей папке: "c:\users\rmgree5\".

Возможно, самым мощным инструментом в арсенале группы Equation является таинственный модуль, известный нам только по своему загадочному названию: "nls_933w.dll".

Это позволяем им перепрограммировать прошивку жестких дисков целого ряда производителей, в том числе таких как: Seagate, Western Digital, Toshiba, Maxtor, IBM. Это удивительное техническое достижение свидетельствует об уровне их возможностей.

За последние годы группа Equation провела множество различных атак. Особым образом выделяется из всех их червь под кодовым названием Fanny. Предположительно, он был создан в 2008 году, в декабре этого года он был обнаружен и блокирован нашими системами. Fanny использовал две уязвимости нулевого дня, которые были обнаружены позже, в то время когда разоблачили Stuxnet. Он использовал STUXNET LNK эксплойт и USB носители.

Для расширения своих привилегий Fanny использовал уязвимость в системе безопасности Windows, которая была исправлена позже Microsoft (обновление MS09-025), эта уязвимость была использована и в ранних версиях Stuxnet 2009 года.

Стоит отметить, что эти два эксплойта были использованы Fanny пред тем как они были внедрены в Stuxnet. Что свидетельствует о том, что группа Equation имела доступ к этим лазейкам нулевого дня ещё перед тем, как их использовала Stuxnet. 

Основной целью Fanny было составление карт сетей защищённых при помощи технологии "воздущного зазора" (air-gapped networks). Для этого использовался уникальный механизм контроля и управления основанный на технологии USB, который позволил передавать данные туда и обратно минуя защиту "воздушного зазора" для сети.

В ближайшее время мы опубликуем более подробную информацию о группе Equation, а также о их вредоносных программах и атаках. Публикуя эту информацию мы хотим донести её до IT сообщества, специализирующегося в области безопасности, а также до независимых исследователей, которые смогут пролить свет и улучшить понимание этих атак. 

Чем больше мы исследуем такие операции в области кибершпионажа, тем больше понимаем, что на самом деле очень мало знаем о них. Вместе мы сможем приподнять завесу тайны и работать в направлении создания более безопасного кибермира.

Перевод статьи Equation: The Death Star of Malware Galaxy