Decision REPORT: Grupo Equation: Os reis da Ciberespionagem

http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=18482&sid=41

Por vários anos, a Equipe de Pesquisa e Análise Global da Kaspersky Lab esteve monitorando de perto mais de 60 responsáveis por ciberataques no mundo inteiro. A equipe viu praticamente de tudo, com os ataques se tornando rapidamente complexos, ainda mais quando governos se envolveram e tentaram se armar com ferramentas mais avançadas. Entretanto, só agora os especialistas da Kaspersky Lab podem confirmar que descobriram um ator que ultrapassa qualquer ataque conhecido em termos de complexidade, de sofisticação de técnicas e que esteve ativo por quase duas décadas – o grupo Equation.

De acordo com os pesquisadores, o grupo é único em quase todos os aspectos de suas atividades: eles usam ferramentas que têm desenvolvimento muito complicado e caro, com o objetivo de infectar vítimas, roubar dados e esconder atividade de modo extraordinariamente profissional, além de utilizar técnicas clássicas de espionagem para transmitir arquivos maliciosos para suas vítimas.

Para infectar suas máquinas, o grupo usa um arsenal poderoso de “implantes” (Cavalos de Tróia), incluindo os seguintes, que foram nomeados pela Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny e GrayFish. Sem dúvida, há outros “implantes” existentes.

Persistência e invisibilidade

A Equipe de Pesquisa e Análise Global da Kaspersky Lab foi capaz de recuperar dois módulos que permitem a reprogramação do firmware do disco rígido de mais de uma dúzia de marcas populares de HDs. Essa é, talvez, a ferramenta mais poderosa no arsenal do grupo Equation, e o primeiro malware conhecido capaz de infectar discos rígidos.

Pela reprogramação do firmware do disco rígido o grupo atinge dois propósitos: um nível extremo de persistência, que ajuda a sobreviver à formatação do disco e a reinstalação do sistema operacional. Se o malware atingir o firmware, ele poderá “ressuscitar” para sempre. Ele pode prevenir a eliminação de um certo setor do disco ou substituí-lo com um setor malicioso durante o boot do Sistema.

Além de possuir a habilidade para criar uma área invisível e persistente escondida dentro do hard drive. Ela é usada para gravar informação infiltrada, que pode ser recuperada mais tarde pelos atacantes.

Recuperação de dados

O worm “Fanny”, que compõem a infecção se destaca de todos os ataques realizados pelo Grupo Equation. Seu propósito principal era mapear redes sem fio vulneráveis, em outras palavras – entender a topologia de uma rede que não pode ser alcançada, e executar comandos nesses sistemas isolados. Para isso, esse worm usou um mecanismo único de comando e controle (C&C) baseado em USB que permitiu aos atacantes acessar e transmitir dados das redes sem fio vulneráveis.

Em particular, um dispositivo USB infectado, com uma área de armazenamento escondida, foi usado para coletar informações básicas do sistema de um computador não conectado à internet. Em seguida ele foi utilizado para enviá-las para o C&C, em um computador infectado pelo Fanny e conectado à internet. Se os atacantes quisessem realizar comandos nas redes sem fio vulneráveis, eles poderiam gravar esses comandos na área escondida do dispositivo de USB. Quando esse dispositivo foi plugado no computador conectado à rede sem fio vulnerável, o Fanny reconheceu e executou os comandos.

Métodos clássicos de espionagem

Os atacantes usaram métodos universais para infectar os alvos: não apenas através da WEB, mas também no mundo físico. Para isso, eles usaram uma técnica de interdição – interceptando produtos e substituindo produtos físicos por versões com Cavalos de Tróia. Um exemplo envolveu mirar os participantes de uma conferência científica em Houston: antes de retornar para casa, alguns dos participantes receberam uma cópia dos materiais da conferência em um CD-ROM, o qual havia sido usado para instalar o implante chamado “DoubleFantasy” no computador da vítima. O método exato pelo qual esses CDs foram interditados é desconhecido.

Amigos infames

Existem evidências sólidas indicando que o grupo Equation interagiu com outros grupos poderosos, como operadores do Stuxnet e Flame – geralmente com uma posição de superioridade. O grupo Equation teve acesso aos 0-days antes de eles serem usados pelo Stuxnet e Flame, e em algum momento eles trocaram exploits entre si.

Em 2008, por exemplo, Fanny usou dois 0-days que foram introduzidos no Stuxnet em julho de 2009 e março de 2010. Um destes 0-days no Stuxnet foi, na verdade, o módulo Flame que explora a mesma vulnerabilidade e que foi levado direto da plataforma Flame e construído no Stuxnet.

Infraestrutura poderosa

O grupo Equation usa uma vasta infraestrutura C&C que inclui mais de 300 domínios e mais de 100 servidores. Os servidores estão hospedados em vários países, incluindo Estados Unidos, Reino Unido, Itália, Alemanha, Holanda, Panamá, Costa Rica, Malásia, Colômbia e República Tcheca. A Kaspersky Lab atualmente neutralizou 24 dos 300 servidores C&C.

Desde 2001, o grupo Equation se ocupou em infectar milhares, ou talvez até dezenas de milhares de vítimas em mais de 30 países ao redor do mundo, cobrindo os seguintes setores: governos e instituições diplomáticas, telecomunicações, espaço aéreo, Energia, pesquisas nucleares, Telecomunicações, Empresas Aeroespaciais, Empresas de Energia, Pesquisa na área nuclear, Petróleo e Gás, Militar, Nanotecnologia, escolas e ativistas islâmicos, Mídia de massa, Transportes, Instituições Financeiras e companhias desenvolvendo tecnologias de criptografia.