Equation Group es un actor poderoso
que amenaza con un dominio absoluto del ciberespacio. Panamá, Costa Rica y
Colombia figuran entre los países donde está instalada la infraestructura
C&C (mando y control) que le permite operar.
Durante
varios años, el GREAT de Kaspersky Lab ha seguido de cerca más de 60 actores de
amenazas avanzadas responsables de ciberataques de todo el mundo. El equipo de
analistas, que ha visto ataques cada vez más complejos a medida que los Estados
se involucraron y trataron de armarse, confirman que han descubierto un actor
de amenaza que supera todo lo conocido en términos de complejidad y
sofisticación técnicas y que ha estado activo durante casi dos décadas –
Equation Group.
Según
los investigadores de Kaspersky Lab, es único en casi todos los aspectos de sus
actividades: utiliza herramientas que son muy complicadas y caras de
desarrollar, con el fin de infectar a las víctimas, recuperar datos y ocultar
la actividad de una manera extraordinariamente profesional y utiliza técnicas
del espionaje clásico para entregar cargas maliciosas a las víctimas.
Para
infectar a sus víctimas, Equation Group utiliza un potente arsenal de
“implantes” (troyanos), incluyendo los siguientes: EquationLaser, EquationDrug,
DoubleFantasy, TripleFantasy, Fanny y GrayFish.
¿Qué
hace a Equation Group único?
Persistencia
e invisibilidad: El GREAT ha sido capaz de recuperar dos módulos que permiten
una reprogramación del firmware del disco duro de más de una docena de marcas
populares de HDD. Esta es quizás la herramienta más poderosa de Equation Group
y el primer malware conocido capaz de infectar a los discos duros.
Reprogramando
el firmware del disco duro (es decir, volver a escribir el sistema operativo
del disco duro), el grupo logra dos propósitos:
- Un nivel de persistencia extremo que ayuda a sobrevivir al formateo del disco y a la reinstalación del sistema operativo. Si el malware se mete en el firmware, ya está listo para “resucitar” para siempre.
- La capacidad de crear una zona invisible, persistente, oculta dentro del disco duro. Se utiliza para guardar información extraída que puede ser posteriormente recuperada por los ciberatacantes. Además, en algunos casos puede ayudar al grupo cancelar el cifrado.
Métodos clásicos de espionaje para propagar malware: Los ciberdelincuentes
utilizaron métodos universales para llegar a sus objetivos tanto a través de la
web como en el mundo real. Para ello, interceptaban objetos físicos y los
reemplazaban por versiones infectadas; por ejemplo, los participantes de una
conferencia científica en Huston recibieron una copia del material del evento
en un CD-ROM que fue utilizado para instalar Double Fantasy en los equipos
objetivo.
Detección
- Kaspersky Lab observó siete exploits que Equation Group usaba en su malware. Al menos, cuatro de ellos fueron usados como zero-day. Además, se observó el uso de exploits desconocidos, posiblemente zero-day, contra Firefox 17, tal como se usa en el navegador Tor.
- Durante la fase de infección, el grupo tenía la habilidad de usar diez exploits en cadena. Sin embargo, los expertos de Kaspersky Lab observaron que no usaban más de tres: si el primero no tenía éxito, probaban con otro y luego con el tercero. Si los tres exploits fallaban, no infectaban el sistema.
- Los productos de Kaspersky detectaron un número de intentos de atacar a sus usuarios. Muchos de estos ataques no tuvieron éxito debido a la tecnología de prevención automática de exploits, que detecta y bloquea genéricamente la explotación de vulnerabilidades desconocidas. El gusano Fanny, presumiblemente agrupado en julio de 2008, se detectó por primera vez y se integró en la lista negra de nuestros sistemas automáticos en diciembre de 2008.
- Sobre Equation group en Securelist.com https://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/
