Durante varios años, el Equipo de Análisis e Investigación Global de Kaspersky Lab ha estado vigilando a más de 60 actores de amenazas avanzadas responsables de ciberataques en todo el mundo. Sin embargo, hasta ahora los expertos de Kaspersky Lab pueden confirmar que han descubierto a un actor de amenaza que supera todo lo conocido en función de complejidad y sofisticación de técnicas, y que ha estado activo por casi dos décadas – El Grupo Equation.
Según los investigadores de Kaspersky Lab, el grupo es extraordinario en casi cada aspecto de sus actividades: utilizan herramientas que son muy complicadas y de desarrollo de alto costo para infectar a víctimas, recuperar datos y ocultar actividad de una manera extraordinariamente profesional, y utilizan técnicas clásicas de espionaje para introducir cargas maliciosas en las víctimas.
Para infectar a sus víctimas, el grupo utiliza un arsenal poderoso de troyanos incluyendo los siguientes que han sido bautizados por Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish. Sin duda habrá otros “troyanos” en existencia.
¿Qué hace extraordinario al grupo equation?
El Equipo Global de Investigación y Análisis de Kaspersky Lab ha podido recuperar dos módulos que permiten la reprogramación del firmware del disco duro de más de una docena de marcas populares de discos duros. Esta quizá sea la herramienta más poderosa del arsenal del Grupo Equation y el primer malware conocido capaz de infectar los discos duro
El gusano Fanny se destaca de todos los ataques realizados por el grupo Equation. Su principal propósito fue mapear redes aisladas protegidas, en otras palabras – comprender la topología de una red inaccesible, y ejecutar comandos para esos sistemas aislados. Para esto, utilizó un comando y mecanismo de control basado en USB el cual permitió a los atacantes llevar y traer datos de redes aisladas protegidas.
En particular, una memoria USB infectada con un área de almacenamiento oculta se utilizó para reunir información básica de una computadora no conectada a Internet y para enviarla a la dirección de Comando y Control cuando dicha memoria USB fuera conectada en alguna computadora infectada por Fanny y que tuviera conexión a Internet. Si los atacantes querían ejecutar comandos en las redes aisladas protegidas, podían guardar estos comandos en el área oculta de la memoria USB. Cuando la memoria USB se insertó en la computadora aislada protegida, Fanny reconoció los comandos y los ejecutó.
Métodos clásicos de espionaje para introducir malware
Los atacantes utilizaron métodos universales para infectar objetivos: no sólo a través de la web, sino también mediante mecanismos físicos. Para ello utilizaron una técnica de interceptar – interceptando bienes físicos y reemplazándolos con versiones infectadas con Troyanos. Un ejemplo es el de participantes seleccionados en una conferencia científica en Houston: al regresar en casa, algunos de los participantes recibieron una copia de los materiales de la conferencia en un CD-ROM el cual se utilizó para instalar el implante DoubleFantasy del grupo en la máquina del objetivo. El método exacto por el cual estos CDs fueron interceptados se desconoce.
Interactua con stuxnet y flame
Hay lazos sólidos que indican que el Grupo Equation ha interactuado con otros grupos poderosos, como con los operadores de Stuxnet y Flame – generalmente desde una posición de superioridad. El Grupo Equation tuvo acceso a días cero antes de que éstos fueran utilizados por Stuxnet y Flame, y en algún punto compartieron exploits con otros.
Por ejemplo, en 2008 Fanny utilizó dos días cero que fueron introducidos con Stuxnet en junio de 2009 y marzo de 2010. Uno de esos días cero en Stuxnet fue en realidad un módulo de Flame que aprovecha la misma vulnerabilidad y el cual se tomó directamente de la plataforma Flame y se incorporó a Stuxnet.
Infraestructura distribuida en todo el mundo
El Grupo Equation utiliza una vasta infraestructura de Comando y Control que incluye más de 300 dominios y más de 100 servidores. Los servidores están alojados en múltiples países, incluyendo los Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia y la República Checa. Kaspersky Lab está actualmente usurpando el control de un par de docenas de estos 300 servidores de Comando y Control.
Detección
Kaspersky Lab observó siete exploits utilizados por el Grupo Equation en su malware. Por lo menos cuatro de éstos fueron utilizados como días cero. Además de esto, se observó el uso de exploits desconocidos, posiblemente de día cero, contra Firefox 17, como se utilizó en el navegador Tor.
Durante la etapa de infección, el grupo tiene la capacidad de utilizar diez exploits en una cadena. Sin embargo, los expertos de Kaspersky Lab observaron que no más de tres se utilizan: si el primero no tiene éxito, entonces intentan con otro, y luego con el tercero. Si fallan los tres exploits, no infectan el sistema.
Los productos de Kaspersky Lab detectan muchas tentativas para atacar a sus usuarios. Muchos de estos ataques no tuvieron éxito gracias a la tecnología de Prevención Automática de Exploit que detecta de manera genérica y bloquea la utilización de vulnerabilidades desconocidas. El gusano Fanny, se presume que fue compilado en julio de 2008, se detectó por primera vez y se incluyó en la lista negra mediante nuestros sistemas automáticos en diciembre de 2008.
Más información en Securelist.com.
Foto ©Shutterstock