mercoledì 25 febbraio 2015

Equation Group: Kaspersky scopre spyware nascosto negli hard disk


Kaspersky Lab ha rivelato l’esistenza della più complessa operazione di infezione e spionaggio mai vista. Un’azione superiore a quella di qualsiasi altro gruppo hacker “in termini di complessità e sofisticatezza”. Per molti anni, il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha attentamente monitorato più di 60 gruppi criminali responsabili di attacchi informatici in tutto il mondo. Gli esperti del GReAT team e hanno potuto osservare gli attacchi diventare sempre più complessi grazie all’entrata in gioco di Stati-nazione che hanno tentato di armarsi con strumenti molto avanzati.

Tuttavia, solo ora gli esperti di Kaspersky Lab possono confermare di aver scoperto una minaccia che supera ogni altra tra quelle conosciute in termini di complessità e sofisticatezza delle tecniche e che è attiva da quasi vent’anni: il gruppo Equation. Secondo i ricercatori di Kaspersky Lab, il gruppo è unico sotto molti aspetti: utilizza strumenti molto complicati e costosi da sviluppare, allo scopo di infettare le vittime, ottenere informazioni e nascondere la propria attività in un modo estremamente professionale e sfrutta classiche tecniche di spionaggio per inviare payload dannosi alle vittime.

Sebbene Kaspersky Lab non indichi in maniera esplicita chi sia dietro alla campagna di cyber spionaggio, l’analisi delle caratteristiche puntano il dito verso l’NSA, l’Agenzia di sicurezza nazionale Usa. Le operazioni risalirebbero addirittura al 2001 e alcuni moduli di malware impiegati dall’Equation group supererebbero per complessità quelli di Regin. Per infettare le sue vittime, il gruppo usa un potente arsenale di “impianti” (Trojan), compresi quelli nominati da Kaspersky Lab come: “EquationLaser”, “EquationDrug”, “DoubleFantasy”, “TripleFantasy”, “Fanny” e “GrayFish”. Senza dubbio ne esistono altri. 


Il GReAT è stato in grado di recuperare due moduli che permettono di riprogrammare il firmware dell’hard disk di più di una dozzina delle popolari marche di HDD. Questo è forse il tool più potente dell’arsenale del gruppo Equation e il primo malware conosciuto in grado di infettare il disco rigido. Riprogrammando il firmware dell’hard disk (ad esempio riscrivendone il sistema operativo), il gruppo raggiunge due obiettivi. Il primo consiste in un livello estremo di persistenza che permette di sopravvivere alla formattazione del disco e alla reinstallazione del sistema operativo.

Se il malware riesce a entrare nel firmware, potrà riattivarsi per sempre. Potrebbe evitare l’eliminazione di un determinato settore del disco o sostituirlo con uno nocivo durante l’avvio del sistema. “Un altro pericolo è che, una volta infettato l’hard drive con questo payload nocivo, è impossibile scansionare il suo firmware”. In poche parole: per la maggior parte degli hard drive ci sono funzioni per scrivere il firmware dell’hardware, ma non ci sono funzioni per rileggerlo. Questo ci impedisce di rilevare gli hard drive infettati dal malware”, avverte Costin Raiu, Director del Global Research and Analysis Team di Kaspersky Lab. 

Il secondo obiettivo consiste nell’abilità di creare un’area invisibile e persistente nascosta all’interno dell’hard drive che viene usata per salvare le informazioni estrapolate che, in un secondo momento, potranno essere recuperate dai criminali. Inoltre, in alcuni casi potrebbe aiutare il gruppo a superare la cifratura del disco. “Considerando il fatto che il loro impianto GrayFish è attivo fin dall’avvio del sistema, sono in grado di ottenere la password di crittografia e salvarla nell’area nascosta”, spiega Costin Raiu. Il worm Fanny si distingue da tutti gli attacchi condotti dal gruppo Equation.

Il suo scopo principale era mappare le reti con protezione air-gap, ovvero comprendere la topologia di una rete che non può essere raggiunta e eseguire comandi su quei sistemi isolati. Per questo, usava un unico meccanismo di controllo basato su USB che permetteva ai criminali di spostare i dati dalle reti protette. Nello specifico, una chiavetta USB con un’area di archiviazione nascosta è stata usata per raccogliere informazioni di base del sistema da un computer non connesso a Internet, e per inviarle al C&C quando la chiavetta è stata inserita in un computer infettato da Fanny e connesso a Internet. 


Se i criminali avessero voluto eseguire comandi nelle reti con protezione air-gap, avrebbero potuto salvarli nell’area nascosta della chiavetta USB. Una volta inserita la chiavetta nel computer protetto, Fanny avrebbe riconosciuto ed eseguito il comando. “Classici” metodi di spionaggio per recapitare il malware. I criminali hanno usato metodi universali per infettare gli obiettivi: non solo tramite web ma anche nel mondo reale. A questo scopo usavano una tecnica d’interdizione: intercettare prodotti fisici e sostituirli con versioni infettate da Trojan. In un attacco di questo tipo sono stati coinvolti i partecipanti di una conferenza scientifica a Houston.

Appena tornati a casa hanno ricevuto una copia dei materiali della conferenza su un CD-ROM che veniva usato per installare l’impianto DoubleFantasy del gruppo direttamente nel dispositivo preso di mira. Le modalità con cui i CD venivano interdetti è sconosciuta. Ci sono forti collegamenti che indicano che il gruppo Equation abbia interagito con altri potenti gruppi, come quelli dietro a Stuxnet e Flame – generalmente da una posizione di superiorità. Il gruppo Equation aveva accesso agli zero-day prima che venissero usati da Stuxnet e Flame e, ad un certo punto, hanno condiviso gli exploit con gli altri.

Ad esempio, nel 2008 Fanny aveva usato due zero-day, introdotti successivamente in Stuxnet a giugno 2009 e marzo 2010. Uno di questi zero-day presenti in Stuxnet era in effetti un modulo Flame che sfrutta la stessa vulnerabilità e che era stato preso direttamente dalla piattaforma di Flame e inserito in Stuxnet. Infrastruttura potente e distribuita a livello globale. Il gruppo Equation usa una vasta infrastruttura C&C che include più di 300 domini e più di 100 server. I server sono situati in diversi Paesi, compresi Stati Uniti, Regno Unito, Italia, Germania, Paesi Bassi, Panama, Costa Rica, Malaysia, Colombia e Repubblica Ceca.

Kaspersky Lab sta attualmente bloccando più di una ventina dei 300 server di Comando e Controllo. Il gruppo Equation usa una vasta infrastruttura C&C che include più di 300 domini e più di 100 server.I server sono situati in diversi Paesi, compresi Stati Uniti, Regno Unito, Italia, Germania, Paesi Bassi, Panama, Costa Rica, Malaysia, Colombia e Repubblica Ceca. Kaspersky Lab sta attualmente bloccando più di una ventina dei 300 server di Comando e Controllo. Migliaia di vittime di alto profilo in tutto il mondo. 


Dal 2001, il gruppo Equation ha infettato migliaia, o forse persino decine di migliaia di vittime in più di 30 Paesi in tutto il mondo, coinvolgendo i seguenti settori: governo e istituzioni diplomatiche, telecomunicazioni, industria aerospaziale, energia, ricerca nucleare, oil and gas, settore militare, nanotecnologie, attivisti e studiosi islamici, mass media, trasporti, istituti finanziari e aziende che sviluppano tecnologie di criptaggio. Kaspersky Lab ha osservato sette exploit usati dal gruppo Equation nei suoi malware. Almeno quattro di essi sono stati usati come zero-day. Inoltre, è stato notato l’uso di exploit sconosciuti, forse zero-day, contro Firefox 17, come era successo in precedenza con il browser Tor.

Durante lo stadio dell’infezione, il gruppo è in grado di usare dieci exploit di seguito. Tuttavia, gli esperti di Kaspersky Lab hanno visto che non ne vengono usati più di tre: se il primo non ha successo, provano con un altro, e quindi con il terzo. Se falliscono tutti e tre gli exploit, non infettano il sistema. I prodotti di Kaspersky Lab hanno rilevato diversi tentativi di attacco agli utenti. Molti di questi attacchi non sono andati a buon fine grazie alla tecnologia di Automatic Exploit Prevention che genericamente rileva e blocca lo sfruttamento di vulnerabilità sconosciute. Il worm Fanny è stato presumibilmente scritto a luglio 2008.

E’ stato rilevato e messo sulla lista nera dal sistema automatico di Kaspersky per la prima volta a dicembre 2008. Kaspersky Lab non cita mai l’Agenzia di sicurezza nazionale Usa, ma un ex dipendente della NSA ha detto a Reuters che l'analisi di Kaspersky è corretta.  Un altro ex agente dell'intelligence ha confermato che l’NSA ha sviluppato la tecnica pregiata per nascondere spyware negli hard disk. La divulgazione potrebbe danneggiare ulteriormente le capacità di sorveglianza dell’agenzia, già guastata dalle dihciarazioni dell’ex dipendente Edward Snowden. Per ulteriori informazioni sul gruppo Equation, è possibile leggere il blog post disponibile su Securelist.com.


Nessun commento:

Posta un commento