Kaspersky Lab ontdekt - geavanceerde dreigingsactor met een absolute dominantie op het gebied van cybertools en –technieken
Kaspersky Lab ontdekt - geavanceerde dreigingsactor met een absolute dominantie op het gebied van cybertools en –technieken
Utrecht, 16 februari 2015 – Het Global Research and Analysis Team (GReAT) van Kaspersky Lab heeft de afgelopen jaren nauwlettend meer dan 60 geavanceerde, voor wereldwijde cyberaanvallen verantwoordelijke dreigingsactors gevolgd. Het team heeft hierbij vrijwel alles voorbij zien komen, met steeds complexer wordende aanvallen vanwege de toenemende betrokkenheid van landen en staten die zich willen uitrusten met de meest geavanceerde tools. Deskundigen van Kaspersky Lab kunnen nu echter pas bevestigen dat ze een dreigingsactor hebben gevonden die alles overtreft wat betreft complexiteit en verfijning van technieken - terwijl deze al bijna twee decennia actief is: de Equation Group.
Volgens onderzoekers van Kaspersky Lab is de groep uniek in vrijwel elk aspect van hun activiteiten: ze gebruiken complexe tools die duur zijn om te ontwikkelen om hun slachtoffers te infecteren, data binnen te halen en hun activiteit te verbergen. Ze doen dit alles op een opmerkelijk professionele manier en maken gebruik van klassieke spionagetechnieken om hun kwaadaardige payload af te leveren bij slachtoffers.
Om hun slachtoffers te infecteren, maakt de groep gebruik van een krachtig arsenaal aan "implantaten" (Trojans), waaronder de volgende die zijn benoemd door Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny en GrayFish. Daarnaast zullen er ongetwijfeld nog andere "implantaten" in omloop zijn.
Wat maakt de Equation Group uniek?
Ultieme persistentie en onzichtbaarheid
GReAT is er in geslaagd om twee modules op te sporen die herprogrammering van de firmware van een harde schijf mogelijk maken, voor ruim een dozijn populaire HDD-merken. Dit is misschien wel de meest krachtige tool in het arsenaal van de Equation Group, en de eerste nu bekende malware die in staat is om harde schijven te infecteren.
Door het herprogrammeren van de firmware van de harde schijf (oftewel het herschrijven van het besturingssysteem van de harddisk), behaalt de groep twee doelen:
- Een extreme mate van persistentie die hen helpt om eventueel formatteren van de schijf en het opnieuw installeren van het besturingssysteem te overleven. Als de malware in de firmware binnendringt, kan deze zichzelf steeds opnieuw "tot leven wekken". Het kan het verwijderen van een bepaalde schijfsector voorkomen, of deze tijdens het opstarten van het systeem vervangen door een kwaadaardige versie.
"Een ander gevaarlijk gevolg is dat het onmogelijk is om de firmware te scannen zodra de harde schijf eenmaal is geïnfecteerd met deze kwaadaardige payload. Simpel gezegd: voor de meeste harde schijven zijn er functies om te schrijven in het firmwaregedeelte van de hardware, maar er zijn geen functies om het terug te lezen. Dit betekent dat we vrijwel blind zijn en geen harde schijven kunnen detecteren die zijn geïnfecteerd met deze malware", waarschuwt Costin Raiu, directeur van het Global Research and Analysis Team bij Kaspersky Lab. - De mogelijkheid om een onzichtbaar, persistent gebied te creëren, verborgen binnen de harde schijf. Dit wordt gebruikt om geëxfiltreerde informatie op te slaan die later kan worden opgehaald door de aanvallers. In sommige gevallen kan het de groep ook helpen de encryptie te kraken: "Gezien het feit dat hun GrayFish-implantaat direct actief is vanaf het opstarten van het systeem, hebben ze de mogelijkheid om het encryptiewachtwoord te onderscheppen en dit op te slaan in het verborgen gebied", verklaart Costin Raiu.
Mogelijkheid om gegevens op te halen uit geïsoleerde netwerken
Tussen alle door de Equation Group uitgevoerde aanvallen springt de Fanny-worm eruit. Het voornaamste doel was het in kaart brengen van air-gapped netwerken. Met andere woorden, om de topologie te begrijpen van een netwerk dat niet te bereiken is en om opdrachten uit te voeren naar deze geïsoleerde systemen. Hiervoor maakt het gebruik van een uniek USB-gebaseerd command & control-mechanisme waarmee de aanvallers data heen en weer kunnen verplaatsen tussen air-gapped netwerken.
Meer specifiek wordt een besmette USB-stick met verborgen opslagruimte gebruikt om basis systeeminformatie te verzamelen vanaf een niet op internet aangesloten computer. Vervolgens wordt dit naar de C&C verstuurd zodra de USB-stick in een met Fanny besmette computer met internetverbinding wordt gestoken. Als de aanvallers opdrachten willen uitvoeren op de air-gapped netwerken, kunnen ze deze opslaan in het verborgen gedeelte van de USB-stick. Zodra de stick wordt aangesloten op de air-gapped computer, herkent Fanny de commando's en voert het deze uit.
Klassieke spionagemethoden om malware af te leveren
De aanvallers gebruikten universele methoden om doelen te infecteren: niet alleen via het web, maar ook in de fysieke wereld. Daarvoor gebruiken ze een interceptietechniek, waarbij fysieke goederen worden onderschept en vervangen door versies met Trojans. Een voorbeeld hiervan had betrekking op de deelnemers aan een wetenschappelijke conferentie in Houston: bij thuiskomst hadden enkele deelnemers een exemplaar van het conferentiemateriaal ontvangen op een cd-rom, die vervolgens werd gebruikt om het DoubleFantasy-implantaat van de groep te installeren op de machine van het doelwit. De exacte wijze waarop deze cd's werden onderschept is onbekend.
Beruchte vrienden: Stuxnet en Flame
Er zijn duidelijke verbindingen die aangeven dat de Equation Group interactie heeft met andere krachtige groepen, zoals de Stuxnet en Flame operators - over het algemeen vanuit een positie van superioriteit. De Equation Group had toegang tot zero-days voordat deze werden gebruikt door Stuxnet en Flame, en op een gegeven moment deelden ze exploits met anderen.
In 2008 gebruikte Fanny bijvoorbeeld twee zero-days die in juni 2009 en maart 2010 werden geïntroduceerd in Stuxnet. Een van deze zero-days in Stuxnet was eigenlijk een Flame-module die dezelfde kwetsbaarheid exploiteert en die rechtstreeks werd overgenomen uit het Flame-platform om te worden ingebouwd in Stuxnet.
Krachtige en geografisch gedristribueerde infrastructuur
De Equation Group gebruikt een uitgebreide C&C-infrastructuur die meer dan 300 domeinen en ruim 100 servers omvat. De servers worden gehost in meerdere landen, waaronder de VS, Groot-Brittannië, Italië, Duitsland, Nederland, Panama, Costa Rica, Maleisië, Colombia en Tsjechië. Kaspersky Lab creëert momenteel sinkholes voor enkele tientallen van de 300 C&C-servers.
Wereldwijd duizenden gereputeerde slachtoffers
Sinds 2001 heeft de Equation Group duizenden of misschien zelfs tienduizenden slachtoffers geïnfecteerd in meer dan 30 landen wereldwijd, afkomstig uit de volgende sectoren: Overheid en diplomatieke instellingen, telecommunicatie, ruimtevaart, energie, nucleair onderzoek, olie en gas, defensie, nanotechnologie, islamitische activisten en wetenschappers, massamedia, transport, financiële instellingen en bedrijven die encryptietechnologieën ontwikkelen.
Detectie
Kaspersky Lab heeft zeven exploits waargenomen die door de Equation Group werden gebruikt in hun malware. Ten minste vier hiervan werden gebruikt als zero-days. Daarnaast is het gebruik van onbekende (mogelijk zero-day) exploits waargenomen tegen Firefox 17, zoals gebruikt in de Tor browser.
Gedurende de infectiefase heeft de groep de mogelijkheid om tien exploits in een keten te gebruiken. Deskundigen van Kaspersky Lab constateerden echter dat er niet meer dan drie worden gebruikt: als de eerste niet succesvol is, proberen ze het met de volgende, en daarna met de derde. Als alle drie de exploits mislukken, infecteren ze het systeem niet.
Producten van Kaspersky Lab ontdekten een aantal pogingen om haar gebruikers aan te vallen. Veel van deze aanvallen waren niet succesvol vanwege de Automatic Exploit Prevention-technologie, die het exploiteren van onbekende kwetsbaarheden op generieke wijze detecteert en blokkeert. De vermoedelijk in juli 2008 gecompileerde Fanny-worm werd voor het eerst door de automatische systemen van Kaspersky Lab ontdekt en op de zwarte lijst gezet in december 2008.
Lees voor meer informatie over de Equation Group de blogpost op Securelist.com.