Grupo de Hackers ligados ao NSA atuam desde 2011

março 10, 2015

Grupo de Hackers ligados ao NSA atuam desde 2011

O Grupo Equação

Em fevereiro de 2014, a equipe de especialistas da Kaspersky Lab anunciou a descoberta de um grupo de hackers que operam a partir de 2001 que conseguiu inúmeras campanhas espionagem cibernética dirigidas contra empresas em praticamente todos os setores, alavancando sobre malwares sofisticados, zero-day.

Os pesquisadores apelidado a equipe hackear o Grupo Equation por causa de sua atitude no uso de algoritmos de criptografia e métodos de ofuscação, e para os métodos sofisticados usados em suas campanhas.

Os investigadores revelaram que hackers por trás do Grupo Equação mostram capacidades de invasão significativos combinado com tácticas sofisticados e complexos, técnicas, e procedimentos. Os especialistas têm coletado uma quantidade enorme de informações relacionadas com as ferramentas de hacking no arsenal do Grupo Equation. Estas ferramentas têm exigido um esforço considerável para o seu desenvolvimento, o que sugere o envolvimento de um governo.

A descoberta mais desconcertante feita pelos investigadores está relacionada com a alegada ligação entre o Grupo Equation e da equipe de programadores por trás doStuxnet e Chama malware.

Com base nas informações relacionadas com as numerosas espionagem cibernéticacampanhas analisadas pelos especialistas da Kaspersky ao longo dos anos, a comunidade de especialistas em segurança a hipótese de que a Agência de Segurança Nacional (NSA) pode estar ligada ao Grupo Equation, embora Kaspersky nunca apontou o dedo para a inteligência dos EUA.

"Há laços sólidos indicando que o grupo Equation interagiu com outros grupos poderosos, como o Stuxnet e operadores-geral da chama de uma posição de superioridade", afirma o relatório divulgado pela Kaspersky durante a Cúpula Analista de Segurança da empresa, em Cancun, no México.

Os pesquisadores da Kaspersky explicou que o Grupo A equação é um "ator ameaça que supera qualquer coisa conhecida em termos de complexidade e sofisticação das técnicas." Sua atividade foi definida pelos especialistas como a mais sofisticada campanha de espionagem cibernética já vi.

O Grupo A equação também teve acesso a zero-dias antes de serem utilizados pelos operadores por trás de campanhas Stuxnet e Flame. De acordo com os pesquisadores da Kaspersky Lab, em sete exploits utilizados pelo Grupo Equation em seu malware e explorar kit, pelo menos quatro deles foram usados como zero-days. Por exemplo, os especialistas mencionou um código malicioso apelidado de Fanny, que foi utilizado pelo Grupo Equation em 2008, quando ele explorou dois zero-dia, mais tarde introduzido no Stuxnet variantes detectado em junho de 2009 e março de 2010. Esta é a prova de que a equipe de hackers teve acesso a falhas anteriormente desconhecidos antes de qualquer outro grupo de hackers.

"Pelo menos quatro deles foram usados como zero-dias pelo grupo equação. Além destes, observou-se a utilização de explorações desconhecidos, possivelmente de dia zero, contra Firefox 17, como usado no navegador TOR . Um caso interessante é o uso do CVE-2013-3918, que foi originalmente usado pelo APTgroup atrás da Aurora ataque de 2009. O Grupo EQUAÇÃO capturado seu explorar e reaproveitado para segmentar usuários do governo no Afeganistão ".

O Grupo Equation infectou milhares ", até mesmo dezenas de milhares" de vítimas em todo o mundo. Pesquisadores da Kaspersky ter recolhido provas de ataques em 42 países.

Pesquisadores da Kaspersky documentaram cerca de 500 infecções. As vítimas foram localizadas principalmente no Irã, Rússia, Paquistão, Afeganistão, Índia e Síria.O mecanismo de autodestruição projetado para os códigos maliciosos usados pela equação Grupo combustíveis suspeitas de que os casos descobertos pelos especialistas são apenas uma pequena porcentagem do total de infecções.

O grupo bateu organizações governamentais e empresas privadas pertencentes às seguintes categorias:

Governos e instituições diplomáticas
Telecomunicação
Aeroespaço
Energia
Pesquisa nuclear
Petróleo e gás
Militar
Nanotecnologia
Ativistas islâmicos e acadêmicos
Os meios de comunicação
Transporte
As instituições financeiras
Empresas desenvolvimento de tecnologias de criptografia

Figura 1 - O Grupo A equação (Kaspersky Lab)

O Grupo A equação se baseia também em ataques físicos para comprometer os sistemas de suas vítimas. De acordo com o relatório publicado pela Kaspersky, o grupo de hackers enviou vítimas um CD infectado-malware no correio e interceptado um roteador Cisco Systems no e-mail para trojans implante diretamente no firmware do dispositivo. A técnica de ataque é conhecido como "interdição" e consiste na intercepção de mercadorias embarcadas e substituição com versões cavalos de Tróia.

"Os ataques que usam meios físicos (CD-ROM) são particularmente interessantes porque eles indicam o uso de uma técnica conhecida como 'interdição', onde os atacantes interceptar mercadorias embarcadas e substituí-los por versões cavalos de Tróia", continua o relatório.

Dentro do Arsenal do Grupo Equation

Os especialistas descobriram que o Grupo A equação se baseia em várias técnicas de ataque para comprometer computadores das vítimas, incluindo:

(Verme) código de auto-replicante - Fanny
Mídia física, CD-ROMs
Sticks USB + exploits
Exploits baseados na Web

Os hackers por trás do grupo Equation usado várias ferramentas de ataque e malware, alguns dos quais são exclusivos para o grupo. Abaixo a lista de malware utilizado exclusivamente pelo Grupo Equation:

EQUATIONDRUG - Uma plataforma de ataque muito complexo usado pelo grupo em suas vítimas. Ele suporta um sistema de plugins módulo, que podem ser dinamicamente carregado e descarregado pelos atacantes.
DOUBLEFANTASY - Um Trojan-style validador projetado para confirmar o alvo é a que se destina. Se o alvo for confirmada, eles se atualizado para uma plataforma mais sofisticada, como EQUATIONDRUG ou GRAYFISH.
EQUESTRE - O mesmo que EQUATIONDRUG.
TRIPLEFANTASY - backdoor com recursos completos, por vezes usado em conjunto com GRAYFISH. Parece que uma atualização do DOUBLEFANTASY, e é, possivelmente, um mais recente plugin-style validador.
GRAYFISH - A plataforma de ataque mais sofisticado do grupo equação. Ele reside completamente no registro, contando com uma bootkit para ganhar execução na inicialização do sistema operacional.
FANNY - Um worm criado em 2008 e usado para reunir informações sobre alvos no Oriente Médio e Ásia. Algumas vítimas parecem ter sido atualizado primeiro a DoubleFantasy, e depois para o sistema EQUATIONDRUG. Fanny usado exploits para duas vulnerabilidades zero-day que mais tarde foram descobertos com o Stuxnet.
EQUATIONLASER - Um implante precoce do grupo equação, usado ao redor 2001-2004. Compatível com Windows 95/98, e criado em algum momento entre DOUBLEFANTASY e EQUATIONDRUG.

Figura 2 - Equação Grupo família malware (Kaspersky Lab)

O especialista em segurança Claudio Guarnieri, um dos pesquisadores de malware mais ativos envolvidos na análise de código malicioso descrito no documento vazado por Edward Snowden, é certo que ferramentas de hacking utilizados pelo Grupo A equação é a mesma usada pela NSA.

É o caso de um keylogger muito sofisticado utilizado pelo Grupo Equação chamado "Grok", que também foi mencionado num dos documentos vazados por Edward Snowden. Grok é considerada um componente keylogging do malware UNITEDRAKE, que os especialistas ligados ao malware Regin.

"O GROK codinome aparece em vários documentos publicados pelo Der Spiegel, onde é mencionado" um keylogger. Nossa análise indica GROK plugins do EQUATIONGROUP é de fato um keylogger em esteróides que podem executar muitas outras funções ", diz o relatório.

"Grok" é referido pela primeira vez em um post publicado por O Intercept , intitulado " Como os planos da NSA para infectar "milhões" de computadores com malware . "O artigo introduz um keylogger NSA desenvolvido chamado Grok.

"Um implante, de codinome UNITEDRAKE, pode ser usado com uma variedade de" plug-ins "que permitem a agência para obter o controle total de um computador infectado", afirma a interceptação. "GROK é usado para registrar as teclas digitadas."

Outra ferramenta poderosa no arsenal do Grupo A equação é GRAYFISH, considerado por especialistas como a plataforma de ataque mais sofisticado da tripulação hacking. GRAYFISH se baseia em um bootkit para ganhar persistência na máquina da vítima. Ele é capaz de infectar quase todas as versões do Windows, incluindo 8. GRAYFISH também rouba arquivos e os armazena em seu próprio sistema de arquivos virtual criptografado (VFS). GRAYFISH foi projetado para disfarçar sua presença e dificultar a sua detecção e análise.

Se ocorrer um erro durante a inicialização, a plataforma GrayFish autodestrói inteiras para evitar deixar vestígios na máquina host. Entre as várias funcionalidades implementadas por GrayFish, o malware encriptado sua carga útil com um hash de 1000 iteração única NTFS objeto ID da máquina de destino.

"O primeiro estágio do carregador GRAYFISH calcula o hash SHA-256 da NTFS de pasta de sistema (% do Windows% ou% System%) OBJECT_ID mil vezes. O resultado é usado como uma chave de decifração AES para a próxima fase. Este é um pouco semelhante a Gauss, que calculou o hash MD5 sobre o nome da sua pasta de destino 10.000 vezes e usou o resultado como a chave de decodificação ".

Usando esta técnica, a única maneira para que os pesquisadores acessar a carga final é analisar a imagem de disco raw para cada máquina infectada individual. A técnica é semelhante ao observado pelos peritos para o Gauss popular, que compartilharam fortes semelhanças técnicas com tanto Stuxnet e Flame, e por esta razão foi associada com a NSA.

"Nós não sabemos se as pessoas por trás Duqu comutada para Gauss naquele momento, mas estamos certos de que eles estão relacionados: Gauss está relacionada à chama, chama está relacionada com o Stuxnet, Stuxnet está relacionada com Duqu. Por isso, Gauss está relacionada com Duqu ", declarou os pesquisadores da Kaspersky Lab em 2012.

Figura 3 - Chama vs Tilded Platform (Kaspersky Lab 2012)

Como mencionado antes, o worm Fanny é outra ferramenta de hacking que capturou as atenções dos pesquisadores. Usou duas vulnerabilidades de dia zero e uma terceira falha que todos foram explorados para acertar os programas nucleares iranianos. Fanny explorado a falha antes Stuxnet fez. Ambas as ferramentas foram usadas para comprometer redes "Gapped ar".

Fanny usado um comando e controle único que criou uma seção de armazenamento escondido em pen drives USB infectados. Quando o malware detectado Fanny não havia uma conexão com a Internet, que iria adquirir informações do sistema. Quando a vara estava ligado a uma máquina que tem acesso à Internet, que enviou as informações de volta para o servidor de comando e controle, que retornaria instruções sobre como comprometer os sistemas gapped ar.

"Se os atacantes queriam executar comandos nas redes gapped ar, eles poderiam salvar esses comandos na área escondida do stick USB. Quando a vara foi conectado ao computador gapped-air, Fanny reconheceu os comandos e executá-los ".

O worm Fanny foi utilizada pelo Grupo Equação para mapear redes gapped ar e para executar comandos para os sistemas isolados.

Há outras semelhanças entre as ferramentas utilizadas pela unidade Tailored Operações de Acesso da NSA e do Grupo de equação. Por exemplo, pesquisadores da Kaspersky reconheceu as seguintes ferramentas como parte do arsenal da equipe de hackers misterioso:

STRAITACID
STRAITSHOOTER

Os nomes dos dois instrumentos têm uma semelhança (com a ortografia "estreito") com um dos malwares mais poderoso projetado pela NSA TAO, STRAITBIZARRE.STRAITBIZARRE é um malware multiplataforma que também funciona em dispositivos móveis.

Muitas ferramentas no catálogo TAO que vazaram em 2013 apresentam características semelhantes à ferramenta de hacking Kaspersky identificou no Grupo Equation, incluindo codinomes UNITEDRAKE, STRAITBAZZARE, validador e SLICKERVICAR.

De acordo com a Wired Magazine, pesquisadores da Kaspersky descobriram uma possível ligação no código de uma ferramenta utilizada pelo Grupo equação que pode referir-se o código de ferramenta NSA chamado Tao UNITEDRAKE (United Rake).

"Kaspersky havia 'UR' em EquationDrug, sugerindo uma possível ligação com UNITEDRAKE (Rake United). Kaspersky também encontrou outros codinomes nos componentes que não estão no catálogo NSA mas compartilham as mesmas convenções de nomenclatura, eles incluem SKYHOOKCHOW, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER e DESERTWINTER ", afirma a revista Wired.

O malware STRAITBIZARRE foi concebido para implementar uma interface comum para uma grande variedade de implantes de software e hardware (ou seja, cottonmouth, DROPOUTJEEP) utilizados pela inteligência dos EUA para exfiltrate dados de redes segmentadas. Um documento vazado por Snowden explica que as máquinas infectadas por STRAITBIZARRE pode ser transformado em descartáveis nós "Shooter", parte da infra-estrutura QUANTUM.

De acordo com o relatório publicado pela Kaspersky, o Grupo Equation também usou meios físicos e CD-ROMs para comprometer os sistemas de seus alvos.

Pesquisadores da Kaspersky revelou que, em 2009, o Grupo Equation alvo participantes em uma conferência científica internacional, que foi realizada em Houston. Os hackers atacaram os principais cientistas de vários países, enviando-lhes um CD-ROM contendo uma apresentação com as melhores fotos do evento. Os hackers incluído no CD-ROM um poderoso malwares Estado-nação que estava ativando silenciosamente em segundo plano.

O CD-ROM foi trabalhada com duas explorações de dia zero. A principal loader foi capaz de cair na máquina da vítima o instalador implante Equation Grupo codinome DoubleFantasy.

O implante DoubleFantasy recolhe informações sobre o alvo e os envia de volta para o servidor de controle, que serve uma plataforma Trojan sofisticado, como EquationDrug ou GrayFish, em resposta.

Poucos dias após a publicação do relatório da Kaspersky, repórter da Reuters Joseph Menn confirmou em um post que a NSA estava usando para suas operações um agente malicioso que foi capaz de comprometer firmware do disco rígido. O repórter citou dois ex-funcionários do governo como a fonte da informação.

"Um ex-funcionário da NSA, disse à Reuters que a análise da Kaspersky estava correta, e que as pessoas que ainda estão na agência de inteligência valorizado esses programas de espionagem como altamente como Stuxnet. Outro ex-agente da inteligência confirmou que a NSA tinha desenvolvido a técnica de ocultar premiado spyware em discos rígidos, mas disse que não sabia que os esforços de espionagem confiou nele. "

Os pesquisadores da Kaspersky foram capazes de recuperar dois módulos que permitiram que o grupo de reprogramar o firmware da unidade de disco de mais de uma dúzia dos mais populares marcas de unidade de disco rígido, incluindo Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba, e Seagate. O aspecto mais desconcertante da descoberta é que o malware foi capaz de sobreviver a formatação do disco e OS reinstalação.

"Isso significa que estamos praticamente cego, e não pode detectar os discos rígidos que foram infectados por esse malware", disse Costin Raiu, diretor de Pesquisa e Análise Global Team a Kaspersky Lab. "Ele pode ressuscitar a si mesmo para sempre."

Os últimos semelhanças entre a unidade de hacking Equation Grupo e NSA Tao é a exploração de "exploits desconhecidos, possivelmente zero-day" contra o Firefox 17, que é o navegador utilizado por clientes Tor. Porque é que o Grupo Equation interessado no de-divulgação da identidade de usuários Tor?

A intenção de rastrear usuários em redes Tor aparece fora do âmbito de gangues criminosas, e levou os investigadores a acreditar que o grupo operado por um governo.

Figura 4 - Equação Grupo cronograma malware (Kaspersky Report)

Conclusão

Pesquisadores da Kaspersky e especialistas em segurança não tenho nenhuma dúvida as ferramentas de hacking usados pelo tempo necessário Equation Grupo e dinheiro para o seu desenvolvimento, a circunstância em que os levou a acreditar no envolvimento de um governo com recursos cibernéticos significativos. As evidências coletadas pelos especialistas sugerem que os membros do grupo têm uma relação estreita com o autor do Stuxnet e Duqu.

"A descoberta do Grupo A equação é significativo porque esta entidade espionagem cibernética onipotente conseguiu permanecer sob o radar por quase 15 anos, se não mais", disse Raiu. "Suas habilidades incríveis e habilidades de alta tecnologia, tais como infectando firmware do disco rígido em uma dúzia de marcas diferentes, são únicos entre todos os atores que vimos e inigualável. Como descobrimos mais e mais atores de ameaças avançadas, entendemos o quão pouco sabemos. Ele também nos faz refletir sobre quantas outras coisas permanecem ocultos ou desconhecidos. "

A ANS divulgou o seguinte comentário sobre o relatório publicado pela Kaspersky Lab:

"Estamos cientes do relatório lançado recentemente. Nós não vamos comentar publicamente sobre quaisquer alegações de que o relatório levanta, ou discutir quaisquer detalhes. Em 17 janeiro de 2014, o presidente fez um discurso detalhado sobre as nossas actividades sinais de inteligência, e ele também emitiu a Diretiva Presidencial Política 28 (PPD-28). Como temos afirmado muitas vezes publicamente, continuamos a respeitar os compromissos assumidos no discurso do presidente e PPD-28. O Governo dos EUA convida nossas agências de inteligência para proteger os Estados Unidos, seus cidadãos e seus aliados a partir de uma ampla gama de ameaças graves - incluindo planos terroristas da Al-Qaeda, ISIL, e outros; a proliferação de armas de destruição em massa; agressão estrangeira contra nós mesmos e nossos aliados; e as organizações criminosas internacionais. "