Index Vakbarát Hírportál

Letörölhetetlen vírussal dolgozik a világ legdurvább hekkerosztaga

2015. február 23., hétfő 17:31

Ha a TAO hekkereit az NSA öklének neveztük, nehéz mit mondani a most felfedezett hekkercsoportra, aminek tagjai valószínűleg csak információik egy részét adták át az eddig csúcs-kiberfegyverként ismert kártevők fejlesztőinek. Az Equation Groupnak hívott csoport a merevlemezek rejtett részeibe épült be, önmegsemmisítőt használt, és legalább 2001 óta működött. Első támadásaikat még postán kicserélt cédével hajtották végre.

2009-ben néhány rangos kutató kapott egy cédét, amin képek és néhány másik fájl volt egy houstoni tudományos konferenciáról, amin részt vettek. A tudósok akkor még nem tudták, hogy a cédén nemcsak az volt, amit ők észrevettek, hanem néhány rosszindulatú program is, egy legalább 2001 (a más források szerint pedig 1996) óta aktív hekkerakció kedves ajándéka. A cédéket valószínűleg a postán cserélték le a vírusos verziókra. 2002-ben vagy 2003-ban pedig Oracle-adatbázist telepítő cédékkel történt ugyanaz a tudósokkal: egy másik célpont gépeire is vírust telepítettek.

A támadásokat pár napja, több mint tíz évvel később azonosította a Kaspersky Lab. Az akció mögött a világ eddig felfedezett legkifinomultabb hekkercsoportja áll, amit a biztonsági cég bonyolult titkosító-algoritmusaik és kifinomult módszereik miatt Equation Groupnak (Egyenlet Csoport) nevezett el. 

Brutálisak

A Kasperky kutatói összesen 500 fertőzést azonosítottak [PDF] a hekkerektől, legalább 42 országban. Áldozataik között van Irán, Oroszország, Pakisztán, Afganisztán, India, Szíria és Mali is. Az egyik webes támadásuk vizsgálta, hogy az áldozatok Jordániából, Törökországból vagy Egyiptomból jönnek-e, ilyenkor nem futott le a támadás.

A programjukba önmegsemmisítést is beépítettek, ezért lehetetlen kideríteni, valójában hány áldozatuk volt. Azt viszont lehet tudni, hogy kormányzati, diplomáciai, telekommunikációs, űripari infrastruktúrákat támadtak, de a célpontjaik között volt az energiaipar, nukleáris kutatások, katonaság, tömegmédia, pénzügyi intézetek és titkosítással foglalkozó cégek is. Volt olyan áldozat is, aki saját maga találta meg a csoport egyik vírusát: egy 2010-es, megválaszolatlanul hagyott fórumbejegyzés szerint felfedezte a furcsa fájlokat, viszont nem tudta, hogyan fertőzik a rendszert.

Az Equation Group még Stuxnet, Flame, Gauss és a többi kiberfegyverhez hozzászokott, NSA módszerein már meg sem lepődő olvasóknak is okozhat meglepetést. Egy-egy megoldásuk is durva, összességében pedig tényleg elképesztő teljesítményről beszélhetünk: több mint 300 domént és 100 szervert használtak, hogy irányítsák a támadásokat. A csoport egy vagy több kémprogramja:

Már Windows 95-re is dolgoztak

Technikai tudásuk és erőforrásaik alapján a Kaspersky szerint az Equation Group valószínűleg a legkifinomultabb hekkercsoport a világon. Az elemzők szerint valószínűleg tudásuk egy részét megosztották a Stuxnet és Flame kiberfegyvereket fejlesztő csoportokkal, de a legnagyobb kincseket megtartották maguknak. „Ők a mesterek, ők adnak másoknak, talán csak morzsákat” ­ írják a kutatók.

A csoport több malware-t is használt támadásaihoz:

 

Beépültek a merevlemezekbe

Nem is a fenti lista miatt elképesztő a csoport, hanem azért, mert képesek voltak megfertőzni a merevlemezek frimware-ét: azt az alapszoftvert, ami egyáltalán a hardverek működéséért felelős.  Több, fenti trójait sikerült észrevenniük a Kaspersky kutatóinak különböző merevlemez frimware-ekben, amiket 2010 és 2013 között telepítettek rájuk.

A hekkerek át tudták programozni a merevlemezeket úgy, hogy a programjaik azok rejtett, operációs rendszer által nem látható szektoraiban fussanak. Ez a gyakorlatban azt jelenti, hogy a

kémprogramok túlélhették az  operációs rendszer újratelepítését, sőt a teljes formázást is.
 

A szoftvereket bizonyíthatóan felkészítették a Seagate, a Western Digital, a Toshiba és a Samsung merevlemezeire. Cserébe ezt a megoldást nagyon ritkán használta a csoport, a Kaspersky csak néhány áldozatnál azonosította.

Vesztüket végül egy elég kínos baki okozta: elfelejtettek megújítani néhány, az kémprogramok irányítószervereit futtató doménjét. A Kaspersky szakemberei ekkor már észrevették működésüket, gyorsan lecsaptak a felszabadult nevekre, majd szépen lehallgatták, milyen adatokat, információkat küldenek vissza a kémprogramok.

Az NSA lehet mögötte

Bár a Kaspersky jelentése kínosan vigyáz arra, hogy egyértelműen kimondja, a csoport az NSA-hoz tartozik, rengeteg bizonyítékot felsorolnak mellette. Eleve úgy vették észre a kiberfegyvereket, hogy a Regint kutatták, a mára egyértelműen a szervezethez kapcsolt, kifinomult trójait. Az egyik fertőzött gépen találtak rá a csoport egy másik programjára.

Az eddigi vizsgálatok alapján valószínű, hogy a Stuxnet „nulladik páciensét”, azaz azt az embert/céget, aki később bevitte az iráni atomerőműbe a vírust, szintén az Equation Group programja fertőzte meg, és juttatta célba a kiberfegyvert.

A Stuxnet és a Flame is képes volt az úgynevezett airgapre, azaz a hálózatra nem kötött gépek elérésére. A Reginben is volt virtuális fájlrendszer, mint amit a csoport is használt. Egyik eszközük pedig a Grok nevet kapta a forráskódban. A Snowden-dokumentumok alapján Grok néven az NSA is fejlesztett billentyűzet-figyelő szoftvert. Ezenkívül még jó pár kódnév megegyezett azzal, amit az NSA ökle, a TAO is használt; akik valószínűleg szintén csak jelenthetnek a csoportnak.

Rovatok