#CyberFiles Victimele Equation: Oficiali din guverne, diplomati si companii din domeniul cercetarii nucleare

Zeci de mii de victime din intreaga lume au cazut in plasa atacatorilor din Grupul Equation, activ inca din anul 2001. Modul de actiune persista atat in mediul online, cat si in lumea reala, in acest ultim caz prin intermediul CD-urilor pe care era implantat un "vierme" in computerul-tinta.

Printre cei care au suferit pagube, prin pierderea de informatii importante, s-au aflat oficiali din guverne, diplomati, oameni de stiinta, precum si companii din domeniul cercetarii nucleare.

La momentul publicarii unui raport de catre expertii Kaspersky (in anul 2015), Equation Group era activ de aproape doua decenii. Desi vazusera multe pana in acel moment, cercetatorii au constatat ca grupul este unic in aproape toate aspectele activitatii sale. In acest sens, atacatorii foloseau unelte foarte complexe si costisitoare, pentru a infecta victimele, a recupera date si a ascunde activitatea intr-un mod remarcabil de profesionist.

Astfel, pentru a-si "infecta" victimele, grupul utiliza un arsenal puternic de "implanturi" botezati troieni, printre care: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny si GrayFish. Denumirile acestor virusi au fost date de catre expertii Kaspersky, pe parcursul investigatiei.

In urma analizelor, echipa GReAT (Global Research and Analysis Team) din cadrul Kaspersky a reusit sa recupereze doua module care permit reprogramarea firmware-ului hard disk-ului a aproximativ o duzina de branduri HDD populare. "Acesta este probabil cel mai puternic instrument din arsenalul grupului Equation si primul malware cunoscut care este capabil sa infecteze hard disk-urile", notau specialistii.

In viziunea acestora, prin reprogramarea firmware-ului unitatii de stocare (adica rescrierea sistemului de operare al unitatii), grupul urmarea doua scopuri, primul fiind acela de a ajuta malware-ul sa reziste formatarii discului si reinstalarii sistemului de operare care rula pe computerul atacat.

"Daca malware-ul intra in firmware, acesta poate reinfecta sistemul de operare nou instalat la nesfarsit. Poate impiedica stergerea unei anumite portiuni de disc sau o poate inlocui cu una infectata in timp ce sistemul porneste. O unitate hard disk infectata devine imposibil de scanat, malware-ul fiind invizibil pentru solutiile antivirus traditionale", explica expertii in securitate cibernetica.

Un al doilea scop tintit de catre cei din spatele Grupului Equation facea referire la capacitatea de a crea o zona invizibila in interiorul hard disk-ului, folosita pentru a salva informatii sustrase, care puteau fi accesate, apoi, de catre atacatori.

In cadrul portofoliului de instrumente pe care le introducea in dispozitivele utilizatorilor, programul de tip "vierme" Fanny era diferit fata de celelalte atacuri efectuate de grupul Equation. In acest sens, scopul sau principal a fost acela de a crea o harta a retelelor unde nu pot ajunge si de a executa comenzi pentru aceste sisteme izolate. Pentru aceasta, a folosit un mecanism unic de comanda si control bazat pe USB, care a permis atacatorilor sa schimbe date prin intermediul acestor retele.

"Atacatorii nu au folosit doar mediul online pentru a-si infecta victimele, ci si lumea reala - la o conferinta stiintifica de la Houston, la intoarcerea acasa, unii dintre participanti au primit o copie a materialelor conferintei pe un CD-ROM care a fost apoi folosit pentru instalarea implantului DoubleFantasy in calculatorul-tinta. Exista dovezi conform carora grupul Equation a interactionat cu alte grupuri, Stuxnet si Flame", mentioneaza cercetatorii.

Conform celor de la Kaspersky, Grupul Equation a avut acces la vulnerabilitati de tip "Zero-day" inainte de a fi utilizate de Stuxnet si Flame. Este cert faptul ca, in anul 2008, Fanny a folosit doua vulnerabilitati "Zero day" care au fost introduse in Stuxnet in iunie 2009 si martie 2010.

Infrastructura Equation descoperita de catre cercetatori este vasta, incluzand peste 300 de domenii si 100 de servere, gazduite in mai multe tari, printre care: SUA, Marea Britanie, Italia, Germania, Olanda, Panama, Costa Rica, Malaezia, Columbia si Cehia.

Din datele existente pana in prezent, incepand cu anul 2001, Equation a infectat zeci de mii de victime, din 30 de tari din numeroase domenii: guverne si institutii diplomatice, telecomunicatii, aerospatial, energie, cercetare nucleara, petrol si gaze, militar, nanotehnologie, activisti si savanti islamici, mass-media, transporturi, institutii financiare si companii care dezvolta tehnologii de criptare.

Numele Equation apare intr-o serie de documente publicate in urma cu doi ani de catre un grup de hackeri intitulat "Shadow Brokers". Acestia au dat publicitatii, in primavara anului 2017, documente si fisiere din care, potrivit expertilor in securitate electronica, rezulta ca National Security Agency (NSA), una dintre principalele agentii de securitate ale Statelor Unite ale Americii, ar fi accesat sistemul bancar global SWIFT, prin intermediul caruia a monitorizat tranzactii bancare din intreaga lume, dar in special din Orientul Mijlociu si America Latina.

Potrivit expertilor in securitate informatica, documentele publicate de "Shadow Brokers" demonstreaza ca NSA a gasit si exploatat numeroase slabiciuni din gama de produse Microsoft, folosite pe larg pe calculatoarele din intreaga lume, dupa cum relata AFP. Mai mult, s-a presupus ca aceste documente provin de la o unitate de piraterie informatica ultrasecreta numita Equation Group din cadrul NSA.

Publicatia Washingtin Post nota ca "Shadow Brokers", pe care analistii ii asociaza cu guvernul rus, ca SUA, prin intermediul NSA, ar fi obtinut informatii de la SWIFT in afara acordului pe care il au cu Uniunea Europeana (UE) in acest domeniu. Dezvaluiri anterioare facute de catre fostul contractor al NSA, Edward Snowden, sugerau deja ca agentia accesa date din SWIFT in afara acordului cu UE.

Cu trei ani in urma, analistii de la Kaspersky scriau intr-un raport ca un server apartinand unui institut de cercetare din Orientul Mijlociu, cunoscut ca "Magnet of Threats", a gazduit si malware pentru autori complecsi printre care si Equation Group (vorbitori de limba engleza). "De fapt, acest server a fost punctul de pornire in descoperirea Equation Group", noteaza sursa citata.

Vorbim, deci, despre un alt nivel de complexitate si despre crearea de avantaje din partea infractorilor cibernetici in detrimentul utilizatorilor ale caror dispozitive s-au dovedit extrem de vulnerabile. Cu timpul, insa, avantajele dobandite au fost contracarate cu solutii ingenioase produse de catre companiile specializate in securitate informatica.

Equation Group a deschis "fereastra" spre alt tip de atac, prin utilizarea de metode care au implicat chiar si dispozitive de stocare comercializate pe scara larga, precum CD-urile si USB-urile.