Хакеры из Equation сумели заразить более тысячи компьютеров

Начиная с 2001 года группировка Equation сумела заразить по всему миру компьютеры тысяч, возможно даже десятков тысяч жертв, относящихся к различным сферам деятельности.

Нет точных данных о том, когда группировка Equation начала свою деятельность. Наиболее ранние из известных вредоносных образцов были скомпилированы в 2002 году, однако домен их командного сервера был зарегистрирован в августе 2001 года. Домены других командных серверов, используемых группировкой Equation, были, судя по всему, зарегистрированы еще в 1996 году; это может означать, что группировка действует уже почти два десятилетия. Она много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства: Equation всегда получала доступ к эксплойтам нулевого дня раньше других групп.

Для заражения жертв Equation применяет мощный арсенал «имплантов» (так они называют свои троянские программы).Сама группировка использует множество внутренних кодовых слов для обозначения собственных инструментов и имплантов, таких как SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER и GROK. Как это ни удивительно для группировки столь высокого уровня, один из разработчиков совершил непростительную ошибку, оставив свое имя пользователя «RMGREE5» в одном из вредоносных образцов в названии рабочей папки: «c:\users\rmgree5\«.

Вероятно, наиболее мощный инструмент в арсенале группировки Equation – таинственный модуль, известный под именем «nls_933w.dll«. Этот модуль позволяет изменять встроенную микропрограмму (прошивку) жестких дисков двенадцати наиболее популярных производителей, в том числе Seagate, Western Digital, Toshiba, Maxtor, IBM и т.д. Это поразительное техническое достижение, позволяющее сделать выводы об уровне возможностей группы.

За последние годы группировка Equation организовала множество различных атак. Одна из них выделяется на общем фоне – это червь Fanny. Вредоносная программа предположительно была скомпилирована в июле 2008 года, впервые она обнаружена и заблокирована нашими системами в декабре 2008 года. В Fanny были применены два эксплойта нулевого дня, которые были впоследствии обнаружены при изучении Stuxnet. Червь распространялся через USB флеш-накопители, используя тот же LNK-эксплойт, что и Stuxnet. Повышение привилегий Fanny в системе обеспечивалось за счет эксплуатации уязвимости, впоследствии закрытой патчем Microsoft MS09-025. Эта же уязвимость использовалась в одной из ранних версий Stuxnet, датируемой 2009 годом.

Важно подчеркнуть, что оба этих эксплойта были применены в Fanny до того, как они вошли в состав Stuxnet. Это говорит о том, что группировка Equation получила доступ к этим эксплойтам нулевого дня раньше, чем группировка Stuxnet. Главная задача, решаемая Fanny, – получение подробных сведений об изолированных сетях, отделенных от внешнего мира так называемым «воздушным барьером», то есть не подключенных к интернету. Для решения этой задачи червь использовал уникальный механизм офлайновой связи с командными серверами, основанный на применении USB-накопителей для передачи команд и данных между изолированными сетями и командным сервером, причем в обе стороны.

Источник:https://securelist.ru/