Equation Group: i criminali artefici dello spionaggio informatico

Kaspersky Lab ha scoperto l’antenato di Stuxnet e Flame, una potente minaccia in termini di strumenti e tecniche informatiche

Per molti anni, il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha attentamente monitorato più di 60 gruppi criminali responsabili di attacchi informatici in tutto il mondo. Gli esperti del GReAT team e hanno potuto osservare gli attacchi diventare sempre più complessi grazie all’entrata in gioco di Stati-nazione che hanno tentato di armarsi con strumenti molto avanzati. Tuttavia, solo ora gli esperti di Kaspersky Lab possono confermare di aver scoperto una minaccia che supera ogni altra tra quelle conosciute in termini di complessità e sofisticatezza delle tecniche e che è attiva da quasi vent’anni: il gruppo Equation.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Secondo i ricercatori di Kaspersky Lab, il gruppo è unico sotto molti aspetti: utilizza strumenti molto complicati e costosi da sviluppare, allo scopo di infettare le vittime, ottenere informazioni e nascondere la propria attività in un modo estremamente professionale e sfrutta classiche tecniche di spionaggio per inviare payload dannosi alle vittime.
Per infettare le sue vittime, il gruppo usa un potente arsenale di “impianti” (Trojan), compresi quelli nominati da Kaspersky Lab come: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny e GrayFish. Senza dubbio ne esistono altri.

kaspersky

COSA RENDE UNICO IL GRUPPO EQUATION?

Massima persistenza e invisibilità

Il GReAT è stato in grado di recuperare due moduli che permettono di riprogrammare il firmware dell’hard disk di più di una dozzina delle popolari marche di HDD. Questo è forse il tool più potente dell’arsenale del gruppo Equation e il primo malware conosciuto in grado di infettare il disco rigido.

Riprogrammando il firmware dell’hard disk (ad esempio riscrivendone il sistema operativo), il gruppo raggiunge due obiettivi:

1. Un livello estremo di persistenza che permette di sopravvivere alla formattazione del disco e alla reinstallazione del sistema operativo. Se il malware riesce a entrare nel firmware, potrà riattivarsi per sempre. Potrebbe evitare l’eliminazione di un determinato settore del disco o sostituirlo con uno nocivo durante l’avvio del sistema.

Leggi anche:  Kaspersky analizza i rischi di possibili attacchi IT e alla supply chain per il 2025

[blockquote style=”4″]“Un altro pericolo è che, una volta infettato l’hard drive con questo payload nocivo, è impossibile scansionare il suo firmware. In poche parole: per la maggior parte degli hard drive ci sono funzioni per scrivere il firmware dell’hardware, ma non ci sono funzioni per rileggerlo. Questo ci impedisce di rilevare gli hard drive infettati dal malware”, avverte Costin Raiu, Director del Global Research and Analysis Team di Kaspersky Lab.[/blockquote]

2. L’abilità di creare un’area invisibile e persistente nascosta all’interno dell’hard drive che viene usata per salvare le informazioni estrapolate che, in un secondo momento, potranno essere recuperate dai criminali. Inoltre, in alcuni casi potrebbe aiutare il gruppo a superare la cifratura del disco: “Considerando il fatto che il loro impianto GrayFish è attivo fin dall’avvio del sistema, sono in grado di ottenere la password di crittografia e salvarla nell’area nascosta”, spiega Costin Raiu.

Capacità di recuperare informazioni da reti isolate

Il worm Fanny si distingue da tutti gli attacchi condotti dal gruppo Equation. Il suo scopo principale era mappare le reti con protezione air-gap, ovvero comprendere la topologia di una rete che non può essere raggiunta e eseguire comandi su quei sistemi isolati. Per questo, usava un unico meccanismo di controllo basato su USB che permetteva ai criminali di spostare i dati dalle reti protette.

Nello specifico, una chiavetta USB con un’area di archiviazione nascosta è stata usata per raccogliere informazioni di base del sistema da un computer non connesso a Internet, e per inviarle al C&C quando la chiavetta è stata inserita in un computer infettato da Fanny e connesso a Internet. Se i criminali avessero voluto eseguire comandi nelle reti con protezione air-gap, avrebbero potuto salvarli nell’area nascosta della chiavetta USB. Una volta inserita la chiavetta nel computer protetto, Fanny avrebbe riconosciuto ed eseguito il comando.

Leggi anche:  Hitachi Vantara e Veeam insieme per offrire soluzioni complete di Data Protection per il cloud ibrido

“Classici” metodi di spionaggio per recapitare il malware

I criminali hanno usato metodi universali per infettare gli obiettivi: non solo tramite web ma anche nel mondo reale. A questo scopo usavano una tecnica d’interdizione: intercettare prodotti fisici e sostituirli con versioni infettate da Trojan. In un attacco di questo tipo sono stati coinvolti i partecipanti di una conferenza scientifica a Houston: appena tornati a casa hanno ricevuto una copia dei materiali della conferenza su un CD-ROM che veniva usato per installare l’impianto DoubleFantasy del gruppo direttamente nel dispositivo preso di mira. Le modalità con cui i CD venivano interdetti è sconosciuta.

FAMIGERATI AMICI: STUXNET E FLAME

Ci sono forti collegamenti che indicano che il gruppo Equation abbia interagito con altri potenti gruppi, come quelli dietro a Stuxnet e Flame – generalmente da una posizione di superiorità. Il gruppo Equation aveva accesso agli zero-day prima che venissero usati da Stuxnet e Flame e, ad un certo punto, hanno condiviso gli exploit con gli altri.

1

Ad esempio, nel 2008 Fanny aveva usato due zero-day, introdotti successivamente in Stuxnet a giugno 2009 e marzo 2010. Uno di questi zero-day presenti in Stuxnet era in effetti un modulo Flame che sfrutta la stessa vulnerabilità e che era stato preso direttamente dalla piattaforma di Flame e inserito in Stuxnet.

INFRASTRUTTURA POTENTE E DISTRIBUITA A LIVELLO GLOBALE

Il gruppo Equation usa una vasta infrastruttura C&C che include più di 300 domini e più di 100 server. I server sono situati in diversi Paesi, compresi Stati Uniti, Regno Unito, Italia, Germania, Paesi Bassi, Panama, Costa Rica, Malaysia, Colombia e Repubblica Ceca. Kaspersky Lab sta attualmente bloccando più di una ventina dei 300 server di Comando e Controllo.

Leggi anche:  Archiviazione Blob di Azure, ecco la soluzione di resilienza informatica firmata Rubrik

MIGLIAIA DI VITTIME DI ALTO PROFILO IN TUTTO IL MONDO

Dal 2001, il gruppo Equation ha infettato migliaia, o forse persino decine di migliaia di vittime in più di 30 Paesi in tutto il mondo, coinvolgendo i seguenti settori: governo e istituzioni diplomatiche, telecomunicazioni, industria aerospaziale, energia, ricerca nucleare, oil and gas, settore militare, nanotecnologie, attivisti e studiosi islamici, mass media, trasporti, istituti finanziari e aziende che sviluppano tecnologie di criptaggio.

RILEVAMENTO

Kaspersky Lab ha osservato sette exploit usati dal gruppo Equation nei suoi malware. Almeno quattro di essi sono stati usati come zero-day. Inoltre, è stato notato l’uso di exploit sconosciuti, forse zero-day, contro Firefox 17, come era successo in precedenza con il browser Tor.

Durante lo stadio dell’infezione, il gruppo è in grado di usare dieci exploit di seguito. Tuttavia, gli esperti di Kaspersky Lab hanno visto che non ne vengono usati più di tre: se il primo non ha successo, provano con un altro, e quindi con il terzo. Se falliscono tutti e tre gli exploit, non infettano il sistema.

I prodotti di Kaspersky Lab hanno rilevato diversi tentativi di attacco agli utenti. Molti di questi attacchi non sono andati a buon fine grazie alla tecnologia di Automatic Exploit Prevention che genericamente rileva e blocca lo sfruttamento di vulnerabilità sconosciute. Il worm Fanny, presumibilmente scritto a luglio 2008, è stato rilevato e messo sulla lista nera dal nostro sistema automatico per la prima volta a dicembre 2008.