頂尖網路犯罪組織Equation現身 卡巴斯基掌握其多起網路間諜攻擊技巧

2015-03-05 多年以來,卡巴斯基全球研究與分析團隊(GReAT)一直以來,對超過60個高級網路犯罪組織進行密切監視,也幾乎見證這些罪犯造成全球大範圍的網路攻擊。隨著越來越多的國家開始使用高級網路工具武裝自己,網路攻擊已日趨復雜化。現在,卡巴斯基的安全專家確認,他們發現了一個網路犯罪組織,其攻擊複雜性和攻擊技巧方面超越了所有已知的網路犯罪組織。我們稱其為Equation網路犯罪組織(The Equation Group),該組織已活躍了近20年。 根據卡巴斯基研究人員的調查,這一網路犯罪組織的行為幾乎在各個方面都很特殊:他們使用的工具非常複雜且開發成本高,他們利用這些工具感染受害者,通過非常專業的手段竊取資料,並隱藏自己的身份。此外,他們還使用典型的間諜攻擊技巧,將惡意程式植入受害者。 為了感染受害者,該網路犯罪組織使用了強大的惡意軟體,包括以下經卡巴斯基命名的木馬程序:EquationLaser、 EquationDrug、DoubleFantasy、TripleFantasy、Fanny和GrayFish。毫無疑問,絕對還有其他未被發現的惡意軟體存在。 極高的持久性和隱蔽性 全球研究和分析團隊發現了兩個惡意模組,可以對數十種常見品牌的硬碟韌體重新進行編碼。這可能是Equation Group所掌握的最強大的武器,同時也是首個已知的能夠直接感染硬碟的惡意軟體。 網路罪犯可通過重新編寫硬碟韌體(即重寫磁碟驅動程式的操作系統),達到以下目的:
  1. 可以讓惡意軟體達到極高的頑固性,甚至在格式化磁碟和重裝系統後仍然能夠存活。如果惡意軟體入侵磁碟韌體,它將無限次地“復活”。它可能會阻止刪除某個特定的磁碟區,或在系統重啟過程中將其替換為惡意代碼。
    “還有一種危險,即當磁碟被感染後,就無法對其韌體進行掃描。簡言之:大多數硬碟只能對其硬件韌體區域進行寫入,卻不具備讀取功能。這意味著,我們幾乎對此一無所知,無法檢測磁碟是否被該惡意軟體所感染”——卡巴斯基全球研究和分析團隊總監Costin Raiu警告。
  2. 可以在磁碟上創建一個持久的隱藏區域。這一區域可用以儲存網路罪犯竊取到的信息,之後再將其取走。此外,有些時候還可以幫助網路罪犯破譯資料加密:“由於GrayFish木馬在系統啟動初始階段就處於活動狀態,它能夠截取加密密碼,並將其保存在磁碟的隱藏區域,”Costin Raiu解釋說。
能夠從隔離網路中獲取資料 在Equation Group發動的所有攻擊中,Fanny蠕蟲的攻擊仍然十分突出。其攻擊的主要目地是標註和繪製與外界網路隔離的安全網路,換句話說,就是在了解了內部網路架構後,在這些隔離系統中執行命令。為了實現這一目的,該惡意軟體使用了一種USB基礎的命令和控制機制,允許攻擊者可在安全網路中來回傳送資料。 此外,攻擊者還會使用包含一個隱藏區域的受感染隨身碟,從未連接網路的電腦上收集基礎系統信息。當該隨身碟被插入到被Fanny感染且有連結網路的電腦上時,Fanny蠕蟲會將收集到的系統信息發送至命令和控制中心。如果攻擊者想要在安全網路中執行命令,可以將這些命令儲存在隨身碟的隱藏區域。當隨身碟被插入到安全網路中的電腦上時,Fanny會識別出並執行這些命令。 利用典型的網路間諜攻擊手段 攻擊者使用多種常用手段感染目標,包括網路和物理手段。為了通過物理手段進行感染,攻擊者會攔截實體,然後利用木馬版本文件替換其中內容。例如,在休士頓舉辦的一場科學研討會中,有些參會人員在離開時,會收到一張包含會議內容的光碟。Equation Group正是利用這些光碟在受攻擊者的電腦上植入DoubleFantasy惡意軟體。但是,攻擊者究竟是如何攔截這些光碟,目前我們尚不得而知。 臭名遠播的朋友:Stuxnet和Flame 目前有確切的證據表明,Equation Group和其他網路犯罪組織有關聯,例如Stuxnet和Flame幕後的操縱者。但是,Equation Group通常處於優越地位。早在Stuxnet和Flame使用零日漏洞進行攻擊之前,Equation Group就已經掌握了這些零日漏洞。有些時候,他們還會同其他網路犯罪組織分享漏洞利用程式。 例如,Fanny曾經在2008年使用了兩種零日漏洞進行攻擊,而此後這兩種漏洞於2009年6月和2010年3月被Stuxnet所採用。Stuxnet使用的其中一個零日漏洞其實是一種Flame模塊,它們所攻擊的漏洞一致,該模塊直接取自Flame平台,之後被添加入Stuxnet。 地理分布廣泛的強大的基礎設施 Equation Group使用了大量命令和控制基礎設施,包括超過300個域名和超過100台伺服器。伺服器位於多個國家,包括美國、英國、義大利、德國、荷蘭、巴拿馬、哥斯大黎加、馬來西亞、哥倫比亞和捷克。卡巴斯基目前正在對300個命令和控制服務器中的幾十個進行Sinkhole。 全球數千個知名受害者 從2001年到現在,Equation Group已經在全球超過30個國家感染了數千個,甚至上萬個受害者。這些受害者包括以下行業和機構:政府和外交機構、電信行業、航空行業、能源行業、核能研究機構、石油和天然氣行業、軍工行業、奈米技術業、伊斯蘭激進分子和學者、大眾媒體、交通業、金融機構以及加密技術開發企業等。 檢測 卡巴斯基實驗室發現Equation Group在其開發的惡意軟體中使用了7種漏洞利用程式。其中至少有4種為零日漏洞。此外,還發現他們使用了未知的漏洞利用程式,很可能是零日漏洞,用於攻擊Tor瀏覽器使用的Firefox 17。 攻擊者在感染階段能夠連續使用10種漏洞利用程式。但是,卡巴斯基實驗室的專家發現他們通常不會使用超過3個漏洞利用程式:如果第一個沒有成功感染,就會使用第二個,接下來使用第三個。如果這些漏洞利用程序都沒有成功感染,則放棄入侵這一系統。 卡巴斯基產品在用戶電腦上檢測到多次試圖感染用戶的行為。但這些攻擊大多都以失敗而告終,這得益於卡巴斯基的自動漏洞入侵防護技術。該技術能夠檢測和攔截利用未知漏洞的攻擊。根據推測,Fanny蠕蟲應該是在2008年7月被編寫出來,而卡巴斯基的自動攔截系統在2008年12月就已經能夠檢測和攔截這款惡意軟體。 請訪問Securelist.com上的部落格文章,以了解更多關於Equation Group的詳情。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 來源:Kaspersky官方網站 文章來源:http://www.kaspersky.com/about/news/virus/2015/equation-group-the-crown-creator-of-cyber-espionage 原文標題:Equation Group: The Crown Creator of Cyber-Espionage