Тень АНБ? На чем прокололись авторы супервируса группы Equation

Материал из CompromatWiki
Перейти к: навигация, поиск
Вирус

«Лаборатория Касперского» рассказала о работе кибергруппы Equation Group, которая научилась заражать прошивку жестких дисков

ЛК выпустила отчет, посвященный хакерской группе Equation («уравнение») – «одной из самых изощренных групп – организаторов кибератак в мире. «Она является источником самой серьезной угрозы, какую мы только видели». Эта группа выпускает вредоносные программы – червь Fanny, который распространяется через интернет и флеш-карты, а также вирусные вредоносные коды Equationdrug и Grayfish, которые меняют прошивку жестких дисков.

Флеш-карты позволяют заражать компьютеры, которые даже не подключены к интернету – так, чтобы потом через другие флеш-карты передать интересную авторам вируса информацию. А на зараженном жестком диске вредоносная программа создает специальный раздел, невидимый владельцу компьютера. Избавиться от вируса на компьютере с таким зараженным жестким диском намного сложнее: не поможет даже переустановка операционной системы, вредоносный код пропишется и в нее.

Эксперты ЛК назвали группу «Уравнением» потому, что она любит использовать алгоритмы шифрования и специальные приемы маскировки, пишут авторы отчета ЛК. Equation однозначно связана с авторами вируса Stuxnet, который нанес ущерб иранской ядерной программе: вредоносные программы Equation первыми использовали две неизвестные широкой публике уязвимости, которые потом перекочевали в Stuxnet.

«Это свидетельствует о том, что группа Equation и разработчики Stuxnet или одни и те же люди, или работают вместе», - пишут авторы отчета ЛК. Участники группы Equation все-таки прокололись, считают эксперты ЛК. Они указывают на то, что ключевое слово GROK группировка Equation называла свою программу для перехвата нажатий клавиатуры (кейлоггер).

Такое же название использовала АНБ в документах, которые были предоставлены журналу Der Spiegel перебежчиком Эдвардом Сноуденом. В этих документах словом GROK также называли шпионскую программу-кейлоггер, указывает лаборатория Касперского. По данным ЛК, сейчас в мире около 500 людей и организаций, компьютеры которых заражены вирусами от Equation. Это немного – но, по данным ЛК, группа ежемесячно заражает около 2000 компьютеров.

Она очень разборчиво относится к поиску жертв и во многих случаях просто уничтожает свой вредоносный код, если владелец компьютера им неинтересен. Код, который исследовали эксперты ЛК, работает на операционных системах Windows. Экспертам ЛК удалось захватить контроль над управляющими серверами вирусов Equation - и они получают из Китая данные, которые отправляют, скорее всего, компьютеры под управлением системы Mac OS от Apple.

Кроме того, одна из изученных вредоносных серверных программ специально пытается определить, не работает ли устройство жертвы под управлением системы iOS, на которой работают смартфоны iPhone и планшеты iPad от Apple. Возможно, для них у Equation тоже есть вирусы, заключают авторы отчета ЛК.

Представитель АНБ отказался комментировать агентству Reuters обвинения ЛК. Он заявил, что агентство следует американским законам и директивам Белого Дома, чтобы защитить США и союзников «от широкого спектра серьезных угроз».

Жертвами вируса стали многочисленные группы компьютеров, которые наблюдались более чем в 30 странах, в том числе Иран, Россия, Сирия, Афганистан, Казахстан, Бельгия, Сомали, Hong Kong, Ливия, Объединенные Арабские Эмираты, Ирак, Нигерия, Эквадор, Мексика, Малайзии, Соединенных Штатов, Судана, Ливана, Палестины, Франции, Германии, Сингапур, Катар, Пакистан, Йемен, Мали, Швейцария, Бангладеш, Южная Африка, Филиппины, Соединенное Королевство, Indiaand Бразилии.

55f7842900.jpg

Важно отметить, что вирус Фанни был использован до того, как он были интегрирован в Stuxnet, что свидетельствует о том, что вирус имел доступ по нулевым параметрам примерно так же, как был разработан Stuxnet. На самом деле, подобный тип использования вируса в одно и то же время в различных компьютерных червях говорит о том, что уравнение группы Фанни и внедрение Stuxnet произошло примерно в одно и то же время, либо же появился в результате совместной работы.

6afd8ee2bb.jpg

Вот картина типичного инфекционного цикла:

F2b91a7d2e.jpg

Кто пострадал более всего:

8a13792fba.jpg

Представители главных российских спецслужб — СВР и ФСБ - заявили, что их сети не пострадали от действий хакерской группы Equation group.

«Главные российские спецслужбы — СВР и ФСБ - не пострадали от хакеров из Equation group», — заявил во вторник официальный представитель разведки Сергей Иванов.

«Наши компьютерные сети достаточно защищены от подобного рода атак», — отметил он.

Аналогично прокомментировал это сообщение и представитель российской контрразведки: «Сети ФСБ имеют надежную защиту от хакеров».

«Большая часть пострадавших компаний была в России и Иране. Это правительственные организации, различные объекты энергетики, университеты, научно-исследовательские институты, военные ведомства, аэрокосмическая отрасль — практически все возможные варианты. Мы не раскрываем точную информацию о жертвах и не можем сказать, насколько ценная информация могла пострадать. Это должны решать сами компании», — прокомментировал Евгений Касперский сложившуюся ситуацию в интервью RT.

По мнению зампреда комитета Совета Федерации по конституционному законодательству Константина Добрынина, обнаружение «Лабораторией Касперского» шпионских программ, предположительно, связанных с АНБ, свидетельствует об эффективности российских систем кибербезопасности. «Сам факт, что мы об этом узнали и вычислили источник прямой и явной угрозы, говорит о том, что есть ещё порох в пороховницах! И что наши системы кибербезопасности достаточно эффективны и способны на равных бороться с главным разведывательным монстром современного мира», — приводит РИА Новости слова Добрынина.

По мнению сенатора, пристальная слежка Запада за Россией никого не удивляет. «Это очевидно и не должно нас расстраивать», — заметил он. «Скорее, я был бы расстроен, если бы они перестали за нами следить — это означало бы, что наши позиции в мире полностью утрачены. А так мы по-прежнему интересны —значит, мы на коне», — резюмировал Добрынин, отметив, что желает «Лаборатории Касперского» получить достойное бюджетное и внебюджетное финансирование на продолжение её изысканий.

Антивирусный эксперт «Лаборатории Касперского» Игорь Суменков рассказал RT о масштабах поражения вирусом персональных компьютеров, в частности, в России.

«Это удивительно долгая атака. Как минимум с 2002 года атакующие успешно заражали свои жертвы и получали от них информацию. Только в прошлом году, когда мы исследовали эту атаку, мы обнаружили 500 жертв. Но она продолжалась в течение многих лет, использовались копии USB-червя. Мы считаем, что жертв — десятки тысяч», — пояснил ситуацию Суменков.

«Они разработали очень сложную программу для заражения Windows-систем и отдельный модуль, который способен заразить всю систему от прошивки жёстких дисков. Такого ещё не делал никто! Разработка подобного модуля требует больших технических возможностей, доступа к документации и много времени, чтобы разработать и поддерживать такую систему», — резюмировал эксперт.

Как сообщалось ранее в рассекреченных бывшим сотрудником ЦРУ и АНБ Эдвардом Сноуденом документах, АНБ стремится к доминированию в киберпространстве. Согласно секретным данным, США готовятся к войнам будущего, в которых будут иметь возможность через интернет выводить из строя компьютеры и, соответственно, всю инфраструктуру, включая системы электро- и водоснабжения, заводы, аэропорты и денежные потоки потенциального противника. На одной из презентаций АНБ сообщило, что «следующий крупный конфликт начнётся в киберпространстве», а кроме того, запросило $1 млрд для активизации сетевых атак.

Однако АНБ в погоне за тотальным контролем над планами и стратегиями мира, похоже, упускает из виду некоторые жизненно важные моменты. В распоряжении RT оказался доклад компании «Лаборатория Касперского», которой удалось раскрыть схему хищения средств из банков. Хакеры получали доступ к компьютерам сотрудников финансовых учреждений, а затем использовали легальные методы вывода средств. От действий преступников пострадали по меньшей мере 30 банков: большинство из них находится в России, США, Германии, Китае и на Украине. Выйти на след злоумышленников пока не удалось. Бывший агент спецслужб и писатель Роберт Дэвид Стил считает, что активность хакеров в киберпространстве — результат безответственности властей США.

«На протяжении 25 лет руководство США не только отказывалось брать на себя ответственность за обеспечение кибербезопасности, но и позволило АНБ оставить множество мелких лазеек. Так что именно АНБ создало для хакеров идеальные условия. Большинство благонамеренных людей не пользовались этой ситуацией в своих интересах. А небольшие неприятности, которые стали её следствием, были не столь значительными, чтобы нанести серьёзный ущерб. Сейчас же этот ущерб нанесён, и мы фактически платим за безответственность. Наше правительство не работает в наших интересах. Поэтому, когда с вашего банковского счёта снимают все деньги из-за недосмотра со стороны банка или правительства, от этого страдаете лично вы. Правительство не представляет ваши интересы», — заявил экс-агент ЦРУ.

Ссылки

Источник публикации