Objavljeno: 17.2.2015 18:00

Odkrit najbolj sofisticiran vladni črv doslej

Kaspersky Lab je na konferenci v Mehiki razkril pristope, prijeme in programsko opremo Equation Group, s katero so za zdaj še neznane sile poldrugo desetletje vohunile za več deset državami. Gre za najbolj sofisticiran kos zlonamerne kode doslej, ki presega tudi slavne Stuxnet, Flame in Regin.

Kdo je Equation Group in za koga delajo ni stoodstotno znano, je pa velika verjetnost, da gre za oddelek ameriške agencije NSA. Uporabljali so nekaj istih ranljivosti kakor v Stuxnetu, koda je zapisana podobno, nivo dodelanosti je v obeh primerih visok, okužene so zlasti ZDA sovražne države. Čeprav so se razširili po več kot 40 državah, je največ okužb v Iranu, Rusiji, Pakistanu in Afganistanu, niso pa imuni niti Britanci ali Mehičani.

Equation Group je dobila svoje ime zato, ker so v Kaspersky Labu videli, da imajo sila radi algoritme in enačbe, skratka šifriranje. Njihove metode pa so že skoraj peklenske. Programi se skrivajo v najnižji nivo programske opreme na disku (firmware), in sicer so ranljive vse pomembnejše znamke. To pomeni, da takega računalnika ne moremo očistiti, če ne zamenjamo diska; ne pomaga niti formatiranje.

Včasih je treba okužiti tudi v internet nepovezane sisteme (air-gapped). V ta namen programska oprema skače z USB-ključa na ključ in se kopira na računalnike, kamor jo vtaknemo, ter s seboj nosi podatke o omrežju. Ko spet pride do internetnega dostopa, pošlje podatke v svet, hkrati pa prenese morebitna navodila. Tako podobno je tudi Stuxnet okužil iranske centrifuge za bogatenje urana.

Predrznost je šla še dlje. Equation Group je tudi prestrezala pisemske pošiljke, v katerih je bila strojna ali programska oprema. Tako so svoje črve spravili na CD-je s slikami s konferenc, namestitveni CD Oraclove baze itd. Pogosti so bili tudi spletne napadi, ki so izrabljali ranljivosti v Javi.

Skupno je Kaspersky Lab, ki ga je v Rusiji ustanovil Eugene Kaspersky, ki je študiral kriptografijo in je nekoč delal za rusko vojsko, sedaj pa vodi strahospoštovanje vzbujajoče podjetje, odkril šest kosov programske opreme: EquationLaser, DoubleFantasy, EquationDrug, GrayFish, Fanny in Triple Fantasy.

Poročilo.

https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji