נחשפה קבוצת Equation: הארכי-מרגלת של עולם הסייבר

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשפה קבוצת Equation: הארכי-מרגלת של עולם הסייבר

נחשפה קבוצת Equation: הארכי-מרגלת של עולם הסייבר

מאת: מערכת Telecom News, 17.2.15, 18:38מתקפת סייבר

נחשפו האבות המייסדים של סטוקסנט ופליים. Equation  - שחקן עוצמתי עם שליטה אבסולוטית בטכניקות וכלי ריגול סייבר.

במהלך מספר שנים עקב צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי (GReAT) אחר יותר מ-60 שחקנים מתקדמים האחראים על מתקפות סייבר ברחבי העולם. אחד הדברים הבולטים שעלו היו המורכבות הגוברת והולכת של המתקפות על רקע כניסתן למשחק של יותר ויותר מדינות, שניסו לחמש את עצמן בכלים המתקדמים ביותר. אך רק כעת יכולים המומחים לאשר, שחשפו את השחקן, שעולה על כולם מבחינת מורכבות ותחכום הטכניקות שלו – קבוצת Equation הפועלת כבר כמעט 2 עשורים.

הקבוצה ייחודית כמעט בכל מאפיין של פעילותה: היא משתמשת בכלים מורכבים ויקרים ביותר לפיתוח במטרה לפגוע בקורבנות, לחלץ מידע ולהסתיר את הפעילות בדרך יוצאת דופן. הקבוצה גם מפעילה טכניקות ריגול קלאסיות כדי להחדיר מטענים זדוניים אל הקורבנות.
 
כדי לפגוע בקורבנות שלה, הקבוצה השתמשה במאגר נשקים הכולל "שתלים" (טרויאנים), שנקראו ע"י מעבדת קספרסקי: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny ו- GrayFish. ללא ספק קיימים "שתלים" נוספים בנמצא.
התולעת

מה הופך את Equation לקבוצה ייחודית?

עמידות ושקיפות אולטימטיביות
צוות המחקר הצליח לחשוף 2 מודולים, שאיפשרו תכנות מחדש של חומרת דיסק קשיח של יותר מ-10 מותגי HDD נפוצים. זהו אולי הכלי העוצמתי ביותר במאגר הנשקים של הקבוצה, וזהו גם הקוד הזדוני הראשון, שידוע כי הוא מסוגל לפגוע בכוננים קשיחים.

באמצעות תכנות מחדש של תוכנת הדיסק הקשיח (כתיבה מחדשה של מערכת ההפעלה של הדיסק הקשיח) הקבוצה השיגה 2 מטרות:
 
1. רמה גבוהה ביותר של עמידות, שמסייעת לשרוד פירמוט של הדיסק או התקנה מחדש של מערכת הפעלה. אם הקוד הזדוני נכנס למערכת הדיסק הקשיח, הוא מסוגל "להחיות" את עצמו מחדש לעד. הוא עלול גם למנוע מחיקה של אזורים מסוימים בדיסק או להחליף אותם בקוד זדוני במהלך אתחול של המערכת.
 
קוסטין ריאו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "דבר מסוכן נוסף הוא, שברגע שהדיסק נדבק בקוד הזדוני, בלתי אפשרי לסרוק את המערכת שלו. אם לפרט: ברוב הדיסקים הקשיחים יש פונקציות לכתיבה אל תוך האזור של תוכנת (תווכת) הדיסק, אבל אין פונקציות כדי לקרוא אותו בחזרה. המשמעות היא, שלמעשה  אנו עיוורים ולא יכולים לזהות דיסק קשיח שנפגע ע"י קוד זדוני זה".
 
2. היכולת ליצור אזור עמיד ושקוף בתוך הדיסק הקשיח. הוא משמש כדי לשמור מידע שחולץ, אותו התוקפים יוכלו להוציא בשלב מאוחר יותר. בנוסף, במקרים מסוימים הוא יכול לסייע לקבוצה לפענח הצפנה.
 
קוסטין ריאו: "אם לוקחים בחשבון את העובדה, ששתל ה- GrayFish פעיל מרגע אתחול המערכת, אז יש לו את היכולת ללכוד את סיסמת ההצפנה ולשמור אותה באזור המוסתר".

היכולת לחלץ נתונים מתוך רשתות מבודדות 
תולעת Fanny בולטת במיוחד על רקע כל המתקפות, שבוצעו ע"י קבוצת Equation. המטרה המרכזית שלה הייתה למפות רשתות מבודדות, או במילים אחרות, להבין את מבנה הרשת, שלא ניתן להגיע אליו, ולהפעיל פקודות עבור מערכות מבודדות אלה. לשם כך היא השתמשה בפקודת USB ייחודית ובמנגנון שליטה המאפשרים לתוקפים להעביר נתונים קדימה ואחורה מתוך הרשתות המבודדות. 

בעיקר נעשה שימוש בהתקני 'USB שהודבקו עם אזור אחסון נסתר, על מנת לאסוף נתונים של מערכות בסיסיות ממחשבים, שאינם מקושרים לאינטרנט. הנתונים נשלחו חזרה לשרתי הפיקוד והשליטה כאשר כונן ה-USB חובר פעם נוספת למחשב, שהודבק ע"י Fanny ושיש לו קישוריות לאינטרנט. אם התוקפים רצו להריץ פקודה ברשתות המבודדות, הם יכלו לשמור את הפקודות האלה באזור נסתר בכונן ה-USB. כאשר הכונן חובר לתוך מחשב ברשת המובדדת, Fanny זיהתה את הפקודות והפעילה אותן. 

שיטות ריגול מסורתיות להעברת הקוד הזדוני
התוקפים השתמשו בשיטות מסורתיות כדי לפגוע במטרות: לא רק באמצעות הרשת, אלא גם בעולם הפיזי. לשם כך הם השתמשו בטכניקות חציצה (interdiction) – כשהם מיירטים מוצרים פיזיים ומחליפים אותם בגרסאות המכילות טרויאנים. דוגמא אחת לכך התבצעה על משתתפים בכנס מדענים ביוסטון: בעת החזרה הביתה, חלק מהמשתתפים קיבלו עותק של חומרי הכנס על CD באמצעותו הותקן שתל ה-DoubleFantasy של הקבוצה על מכשיר המטרה. השיטה המדויקת באמצעותה הדיסקים האלה הודבקו אינה ידועה.

חברים ידועים לשמצה: סטוקסנט ופליים
יש קשרים ברורים המצביעים על כך, שקבוצת Equation פעלה בשיתוף עם קבוצות עוצמתיות אחרות, כגון מפעילי סטוקסנט ופליים – בדרך כלל מנקודת עליונות. לקבוצת Equation הייתה גישה לפרצות יום אפס לפני שהם היו בשימוש ע"י סטוקסנט ופליים ובנקודה מסוימת הם שיתפו את הפרצות עם אחרים.

לדוגמא, ב-2008 תולעת Fanny השתמשה ב-2 פרצות יום אפס, שהופעלו בסטוקסנט ביוני 2009 ובמרץ 2010. אחת מ-2 פרצות אלו בסטוקסנט הייתה, למעשה, מודול של פליים,  שניצל את אותה פירצה ושנלקחה ישירות מהפלטפורמה שלו.

תשתית עוצמתית ומבוזרת
קבוצת Equation השתמשה בתשתית פיקוד ושליטה רחבה, שכללה יותר מ-300 דומיינים ויותר מ- 100 שרתים. השרתים התארחו במספר מדינות, כולל ארה"ב, בריטניה, איטליה, גרמניה, הולנד, פנמה, קוסטה ריקה, מלזיה, קולומביה וצ'כיה. מעבדת קספרסקי תפסה שליטה על כמה עשרות שרתים מתוך 300 שרתי הפיקוד והשליטה.

אלפי קורבנות בפרופיל גבוה ובפריסה גלובלית מאז 2001, קבוצת Equation הייתה עסוקה בהדבקה של אלפי, אולי אפילו עשרות אלפי קורבנות, ביותר מ-30 מדינות, כשהיא מכסה את המגזרים הבאים: גופי ממשל ודיפלומטיה, טלקום, חלל ותעופה, אנרגיה, מחקר גרעיני, נפט וגז, צבא, ננו-טכנולוגיה, פעילים ואקדמאים אסלאמיים, גופי תקשורת, תחבורה, גופים פיננסים וחברות המפתחות טכנולוגיות הצפנה.

זיהוי
החברה זיהתה 7 פרצות, שהיו בשימוש בקוד הזדוני של קבוצת Equation. לפחות 4 מתוכן שימשו כמתקפות יום אפס. בנוסף לכך, זוהה שימוש בפרצות בלתי מוכרות, כנראה יום אפס, כנגד פיירפוקס 17 כשהוא בשימוש כדפדפן Tor.

במהלך שלב ההדבקה, לקבוצה הייתה היכולת להשתמש ב-10 פרצות בשרשרת. אך מומחי מעבדת קספרסקי זיהו, שלא נעשה שימוש ביותר מ-3: אם הראשונה לא הצליחה, הם ניסו אחרת, ואז את השלישית. אם כל ה-3 נכשלו, הם לא הדביקו את המערכת.
 
הדו"ח המלא - כאן. או בקישור - כאן.
הגנה ממתקפה
 
 



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נפתחה ההרשמה למחזור הראשון של TLV Generator. ההרשמה - כאן

חנות המוצרים המובילה מסין -Chinabuy בעברית ובמחירי מבצע מטורפים

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.
 




לוח האירועים המלא לגולשים מצוי כאן.

24-25/1/17 - יריד חדשנות אורבנית של השלטון המקומי

15-16.2.17 - GLOBAL INVESTOR SUMMIT OurCrowd    

6-7.3.17 - BrainTech 2017 

22.3.17 - GEMIC - TLV

29/3/17 - Telco2017 - תערוכת מוקדים טלפוניים  

25-29/6/17 - Cyber Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לדצמבר 2016 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חי בסרט: סמנכ"ל הכלכלה במש' התקשורת בטוח שהתכנית שחיבר תצא לפועל - כאן

מכרז התדרים ל-LTE הסתיים (בחלוקת תדרים) בדיוק כמו שהחל: בפלופ - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

20 המובילים ומקבלי הצל"ש בשנת 2015 בעולם התקשורת וההייטק הישראלי - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

איגוד האינטרנט התקין מערכת המסכנת את חברות האינטרנט וגולשי האינטרנט - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
MediaVenus
 
TLV-Generator
 
 
Telecom Experts
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
ChinaBuy
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים