Equation Group

Equation Group (angleško: Skupina za enačbe) je sofisticirana hekerska skupina, ki je odgovorna za različne izrabe računalniškega omrežja (Computer Network Exploitation - CNE ). Označimo jo lahko za napredno trajno grožnjo – to je skupek oz. niz prikritih in kompleksnih hekerskih aktivnosti, katerih namen je napad na točno določeno informacijsko infrastrukturo. S tem želijo storilci (hekerji) pridobiti dostop do točno določenih občutljivih podatkov.

Dokazi o obstoju skupine segajo v leto 2001, možno pa je, da delujejo že od leta 1996, saj so bile takrat registrirane prve domene njihovih nadzornih centrov. Uporabljajo raznoliko zlonamerno programsko opremo, ki po kompleksnosti in dodelanosti v veliki meri presega grožnjo Regin (hekersko orodje, ki ga najpogosteje uporablja NSA). Slednja velja za eno najbolj dodelanih hekerskih orodij.

Ime Equation Group izhaja iz njihove uporabe enkripcijskih algoritmov, strategij zavajanja in sofisticiranih metod, ki jih uporabljajo med hekerskimi aktivnostmi.

Glede na to, da se Equation group ni nikoli izpostavila v javnosti ali podala uradne izjave, je njihov namen nejasen. Glede na posredno povezavo z NSA lahko domnevamo, da je njihov namen globalno proameriško zbiranje informacij in delovanje v korist ZDA. To potrjujejo tudi napadi, ki so usmerjeni pretežno na Rusijo, Savdsko Arabijo in Mehiko.

Hekerska orodja in zlonamerna programska oprema^[1]

Do sedaj je bilo identificiranih več različnih zlonamernih programskih oprem, ki jih uporablja izključno Equation Group. To so:

EQUATIONDRUG –kompleksen napadalni vohunski program, ki se naloži na operacijski sistem in ga lahko napadalci spreminjajo ter prilagajajo glede na lastne potrebe pridobivanja informacij. S pomočjo programa lahko zbirajo gesla, pridobivajo izbrisane datoteke in prevzamejo delovanje celotnih omrežij ali infrastruktur.
DOUBLEFANTASY – potrjevalni trojanski konj (validator-style Trojan), ki ugotavlja ali je okuženi računalnik dejanska tarča. V primeru potrjene tarče se le ta nadgradi v EQUATIONDRUG ali GRAYFISH.
TRIPLEFANTASY – stranska vrata (backdoor), pogosto uporabljena v tandemu z GRAYFISH. Posodobljena različica DOUBLEFANTASY.
GRAYFISH – najbolj sofisticirana napadalna platforma skupine. Deluje v registru in se zanaša na bootkit, da se lahko zažene ob zagonu sistema. Na disku okuženega računalnika ustvari skrit prostor za shranjevanje in izvrševanje zlonamernih ukazov, ki je dostopen le Equation group.
FANNY – računalniški črv ustvarjen v letu 2008 in uporabljen za zbiranje informacij o tarčah na Bližnjem vzhodu in drugod po Aziji. Fanny izrablja 2 ranljivosti ničtega dne, ki so bile kasneje odkrite s Stuxnetom. Lahko se infiltrira celo v omrežja, ki niso povezana na svetovni splet. To stori preko okuženega USB ključka ali drugega fizičnega medija.
EQUATIONLASER – zgodnejša različica DOUBLEFANTASY in EQUATIONDRUG uporabna na Windows 95/98.
REPROGRAMIRANJE TRDEGA DISKA – s pomočjo modula nls_933w.dll lahko reprogramirajo trdi disk in nanj naložijo podatke, ki so tako obstojni, da lahko ostanejo zapisani tudi po formatiranju diska in ponovni inštalaciji operacijskega sistema. Prav tako pa lahko na disk zapiše na skrivaj vmesnik za namensko programiranje.

Seznam izrab ranljivosti

Spodaj so naštete ranljivosti, ki jih je izrabljala skupina Equation Group, odkril pa jih Kaspersky Lab. Nekatere med njimi so že bile odpravljene. Te so:

TTF exploit popravljen z MS12-034[1] (CVE[1]-2012-0159)
TTF exploit popravljen z MS13-081[2] (CVE-2013-3894)
LNK ranljivost uporabljena v Stuxnet. (CVE-2010-2568)
CVE-2013-3918 (Internet Explorer)
CVE-2012-1723 (Java)
CVE-2012-4681 (Java)
Windows Kernel EoP exploit uporabljen v Stuxnet 2009 (atempsvc.ocx), popravljen z MS09-025. (CVE neznan)

Okužbe z zlonamerno programsko opremo Equation Group^[2]

Skupina uporablja več tehnik, s katerimi okuži žrtve. Te vključujejo:

Koda, ki se sama reproducira - Fanny
Fizični mediji, CD-ROM
USB ključki
Zlorabe, ki se nahajajo na spletu

Zlasti so zanimivi napadi z uporabo fizičnih medijev (CD-Romov), saj nakazujejo na uporabo tehnike prestrezanja, kjer napadalci prestrežejo pošiljko blaga in ga zamenjajo z okuženo verzijo. To se je zgodilo udeležencem znanstvene konference v Houstonu. Po vrnitvi domov, so prejeli kopijo CD-ROM/zgoščenke/diska z materiali s konference, ob uporabi tega diska, se je na računalnik naložila programska oprema DoubleFantasy. S tem je skupina pridobila dostop do okuženih računalnikov. Metode, ki jih uporabljajo za prestrezanje CD-jev so še vedno neznane.

Žrtve

Žrtve napadov prihajajo iz več kot trideset različnih držav po celem svetu. Do sedaj so odkrili napade v Belgiji, Franciji, Nemčiji, Rusiji, Združenem kraljestvu Velike Britanije in Severne Irske, Švici, Mehiki, Združenih državah Amerike, Afganistanu, Iranu, Siriji, Kazahstanu, Hong Kongu, Maleziji, Združenih Arabskih Emiratih, Iraku, Libiji, Somaliji, Nigeriji, Ekvadorju, Sudanu, Libanonu, Palestini, Singapurju, Katarju, Pakistanu, Jemnu, Maliju, Bangladešu, Južno Afriški Republiki, Indiji, Braziliji in na Filipinih.

Equation Group svoje napade in aktivnosti primarno usmerja v tarče, ki upravljajo s pomembnimi podatki na najvišjih nivojih države ali gospodarstva. Med najpogostejše tarče sodijo:

Vlade in diplomatske insitucije
Telekomunikacije
Zračni promet
Energija
Nuklearne raziskave
Petrokemična industrija
Vojska
Nanotehnologija
Islamistični aktivisti in strokovnjaki
Množični mediji
Transport
Finančne institucije
Podjetja, ki razvijajo kriptografsko tehnologijo

Veliko okužb z zlonamernimi programi skupine Equation Group je bilo zaznanih na strežnikih, pogosto na krmilnikih domen, bazah podatkov in spletnih gostovanjih. Hkrati imajo okužbe vkodirane mehanizme za samouničenje. Povprečno, naj bi bili odgovorni za približno 2000 napadov na uporabnike na mesec. Sama okužba nujno še ne pomeni izrabe - če okužena žrtev ni tarča skupine, z napadom ne nadaljujejo.

Nadzorni centri (C&C infrastructure)

Equation Group ima obširno nadzorno infrastrukturo, ki vključuje več kot 300 domen in 100 strežnikov, ki gostujejo po vsem svetu. Znani so strežniki v ZDA, Veliki Britaniji, Italiji, Nemčiji, na Nizozemskem Panami, Kostariki, Kolumbiji in na Češkem.

Vse domene nadzornih centrov naj bi bile registrirane preko večjih ponudnikov domen (npr. Domains by Proxy), da zakrinkajo lastne podatke.

Izbira žrtev

Skupina Equation Group izbera žrtve z izjemno natančnostjo, njihov namen pa je navadno onemogočiti delovanje tarče ali pridobiti zaupne informacije. V nekaterih primerih, ko usmerjen napad ni potreben oziroma mogoč, izbirajo žrtve s pomočjo potrjevalnega trojanskega konja DOUBLEFANTASY.

Mediji in Equation Group

Kaspersky Lab

Direktor ekipe za raziskovanje in analizo zaposlen v podjetju Kaspersky Lab Costin Raiu o Equation Group pravi: "Menim, da ima Equation Group najbolj kul igrače. Vsake toliko jih delijo s skupinama Stuxnet in Flame. Oni so definitivno mojstri in to kar delijo z drugimi so le kruhove drobtinice."^[3]

Comae Technologies

Glede na analizo, ki jo je opravilo podjetje Comae Technologies segajo primeri vdorov Equation Group v gospodarsko vplivna podjetja in kraje njihovih dokumentov v leto 2013. Ti dokumenti vsebujejo različna orodja za kontrolo usmerjevalnikov in požarnega zidu podjetij Cisco Systems, Juniper, Fortigate in Topsec (Kitajska). Neodvisna analiza, ki jo je opravilo podjetje Risk Based Security pa je ugotovila, da je IP naslov s katerega naj bi bil izveden napad vseboval podatke o IP naslovu, ki pripada ameriškemu ministrstvu za obrambo^[4]

Povezava z Nacionalno varnostno agencijo (NSA)

Po poročanju Ars Technice leta 2015 naj bi Equation Group izvajala ene izmed najbolj dovršenih znanih hekerskih operacij na svetu. Uporaba iste ranljivosti ničtega dne v črvu Stuxnet, ki je prekinil iranski nuklearni program in v zlonamerni programski opremi Flame, ki je delovala predvsem na Bližnjem Vzhodu, in v zlonamerni programski opremi Equation Group, demonstrira jasno povezavo med Equation Group in NSA ^[5].

Seznam spletnih strani, na katerih so/so bili odkriti nadzorni centri

DoubleFantasy

advancing-technology.com
Avidnewssource.com
Businessdealsblog.com
Businessedgeadvance.com
charging-technology.com
Computertechanalysis.com
globalnetworkanalys.com
melding-technology.com
selective-business.com
slayinglance.com
technicaldigitalreporting.com
Timelywebsitehostesses.com
www.dt1blog.com
www.forboringbusinesses.com

EquationDrug

newjunk4u.com
Easyadvertonline.com
ad-noise.net
ad-void.com
Aynachatsrv.com
damavandkuh.com
Fnlpic.com
monster-ads.net
nowruzbakher.com
Sherkhundi.com
quik-serv.com
Nickleplatedads.com
Arabtechmessenger.net
Amazinggreentechshop.com
Foroushi.net
technicserv.com
goldadpremium.com
honarkhaneh.net
parskabab.com
technicupdate.com
technicads.com
customerscreensavers.com
darakht.com
ghalibaft.com
adservicestats.com
webbizwild.com
roshanavar.com
afkarehroshan.com
thesuperdeliciousnews.com
adsbizsimple.com
goodbizez.com
meevehdar.com
Downloadmpplayer.com
honarkhabar.com
techsupportpwr.com
webbizwild.com
zhalehziba.com
serv-load.com
wangluoruanjian.com
islamicmarketing.net
noticiasftpsrv.com
Coffeehausblog.com
platads.com
havakhosh.com
toofanshadid.com
bazandegan.com
sherkatkonandeh.com
mashinkhabar.com
quickupdateserv.com

GrayFish

ad-noise.net
business-made-fun.com
businessdirectnessource.com
charmedno1.com c
ribdare2no.com
dowelsobject.com
following-technology.com
forgotten-deals.com
functional-business.com
housedman.com
industry-deals.com
listennewsnetwork.com
phoneysoap.com
posed2shade.com
quik-serv.com
rehabretie.com
speedynewsclips.com
teatac4bath.com
unite3tubes.com
unwashedsound.com

TripleFantasy

arm2pie.com
brittlefilet.com
cigape.net
crisptic01.net
fliteilex.com
itemagic.net
micraamber.net
mimicrice.com
rampagegramar.com
rubi4edit.com
rubiccrum.com
rubriccrumb.com
team4heat.net

Naslovi serverjev za zlorabo

standardsandpraiserepurpose.com
suddenplot.com
technicalconsumerreports.com
technology-revealed.com

Glej tudi...

Vrste zlonamernih programov

Informacijska varnost

Protivirusni program

Požarni zid

Kibernetski kriminal

Izsiljevalsko programje

List of hacker groups

Sklici in opombe

↑ »Equation group questions and answers« (PDF). Arhivirano iz prvotnega spletišča (PDF) dne 17. februarja 2015. Pridobljeno 23. januarja 2018.
↑ Equation group elita kibernetskega vohunjenja
↑ How omnipotent hackers tied to the NSA hid for 14 years and were found at last
↑ Equation Group dostopala do podatkov z NSA povezanih hekerskih skupin
↑ Najdena koda, ki razkriva z NSA povezano hekersko skupino

[test1-1] »Equation group questions and answers« (PDF). Arhivirano iz prvotnega spletišča (PDF) dne 17. februarja 2015. Pridobljeno 23. januarja 2018.

[test2-2] Equation group elita kibernetskega vohunjenja

[test-3] How omnipotent hackers tied to the NSA hid for 14 years and were found at last

[test3-4] Equation Group dostopala do podatkov z NSA povezanih hekerskih skupin

[test5-5] Najdena koda, ki razkriva z NSA povezano hekersko skupino

[1]

[2]

[3]

[4]

[5]