נחשפה קבוצת Equation: הארכי-מרגלת של עולם הסייבר

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשפה קבוצת Equation: הארכי-מרגלת של עולם הסייבר

נחשפה קבוצת Equation: הארכי-מרגלת של עולם הסייבר

מאת: מערכת Telecom News, 17.2.15, 18:38מתקפת סייבר

נחשפו האבות המייסדים של סטוקסנט ופליים. Equation  - שחקן עוצמתי עם שליטה אבסולוטית בטכניקות וכלי ריגול סייבר.

במהלך מספר שנים עקב צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי (GReAT) אחר יותר מ-60 שחקנים מתקדמים האחראים על מתקפות סייבר ברחבי העולם. אחד הדברים הבולטים שעלו היו המורכבות הגוברת והולכת של המתקפות על רקע כניסתן למשחק של יותר ויותר מדינות, שניסו לחמש את עצמן בכלים המתקדמים ביותר. אך רק כעת יכולים המומחים לאשר, שחשפו את השחקן, שעולה על כולם מבחינת מורכבות ותחכום הטכניקות שלו – קבוצת Equation הפועלת כבר כמעט 2 עשורים.

הקבוצה ייחודית כמעט בכל מאפיין של פעילותה: היא משתמשת בכלים מורכבים ויקרים ביותר לפיתוח במטרה לפגוע בקורבנות, לחלץ מידע ולהסתיר את הפעילות בדרך יוצאת דופן. הקבוצה גם מפעילה טכניקות ריגול קלאסיות כדי להחדיר מטענים זדוניים אל הקורבנות.
 
כדי לפגוע בקורבנות שלה, הקבוצה השתמשה במאגר נשקים הכולל "שתלים" (טרויאנים), שנקראו ע"י מעבדת קספרסקי: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny ו- GrayFish. ללא ספק קיימים "שתלים" נוספים בנמצא.
התולעת

מה הופך את Equation לקבוצה ייחודית?

עמידות ושקיפות אולטימטיביות
צוות המחקר הצליח לחשוף 2 מודולים, שאיפשרו תכנות מחדש של חומרת דיסק קשיח של יותר מ-10 מותגי HDD נפוצים. זהו אולי הכלי העוצמתי ביותר במאגר הנשקים של הקבוצה, וזהו גם הקוד הזדוני הראשון, שידוע כי הוא מסוגל לפגוע בכוננים קשיחים.

באמצעות תכנות מחדש של תוכנת הדיסק הקשיח (כתיבה מחדשה של מערכת ההפעלה של הדיסק הקשיח) הקבוצה השיגה 2 מטרות:
 
1. רמה גבוהה ביותר של עמידות, שמסייעת לשרוד פירמוט של הדיסק או התקנה מחדש של מערכת הפעלה. אם הקוד הזדוני נכנס למערכת הדיסק הקשיח, הוא מסוגל "להחיות" את עצמו מחדש לעד. הוא עלול גם למנוע מחיקה של אזורים מסוימים בדיסק או להחליף אותם בקוד זדוני במהלך אתחול של המערכת.
 
קוסטין ריאו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "דבר מסוכן נוסף הוא, שברגע שהדיסק נדבק בקוד הזדוני, בלתי אפשרי לסרוק את המערכת שלו. אם לפרט: ברוב הדיסקים הקשיחים יש פונקציות לכתיבה אל תוך האזור של תוכנת (תווכת) הדיסק, אבל אין פונקציות כדי לקרוא אותו בחזרה. המשמעות היא, שלמעשה  אנו עיוורים ולא יכולים לזהות דיסק קשיח שנפגע ע"י קוד זדוני זה".
 
2. היכולת ליצור אזור עמיד ושקוף בתוך הדיסק הקשיח. הוא משמש כדי לשמור מידע שחולץ, אותו התוקפים יוכלו להוציא בשלב מאוחר יותר. בנוסף, במקרים מסוימים הוא יכול לסייע לקבוצה לפענח הצפנה.
 
קוסטין ריאו: "אם לוקחים בחשבון את העובדה, ששתל ה- GrayFish פעיל מרגע אתחול המערכת, אז יש לו את היכולת ללכוד את סיסמת ההצפנה ולשמור אותה באזור המוסתר".

היכולת לחלץ נתונים מתוך רשתות מבודדות 
תולעת Fanny בולטת במיוחד על רקע כל המתקפות, שבוצעו ע"י קבוצת Equation. המטרה המרכזית שלה הייתה למפות רשתות מבודדות, או במילים אחרות, להבין את מבנה הרשת, שלא ניתן להגיע אליו, ולהפעיל פקודות עבור מערכות מבודדות אלה. לשם כך היא השתמשה בפקודת USB ייחודית ובמנגנון שליטה המאפשרים לתוקפים להעביר נתונים קדימה ואחורה מתוך הרשתות המבודדות. 

בעיקר נעשה שימוש בהתקני 'USB שהודבקו עם אזור אחסון נסתר, על מנת לאסוף נתונים של מערכות בסיסיות ממחשבים, שאינם מקושרים לאינטרנט. הנתונים נשלחו חזרה לשרתי הפיקוד והשליטה כאשר כונן ה-USB חובר פעם נוספת למחשב, שהודבק ע"י Fanny ושיש לו קישוריות לאינטרנט. אם התוקפים רצו להריץ פקודה ברשתות המבודדות, הם יכלו לשמור את הפקודות האלה באזור נסתר בכונן ה-USB. כאשר הכונן חובר לתוך מחשב ברשת המובדדת, Fanny זיהתה את הפקודות והפעילה אותן. 

שיטות ריגול מסורתיות להעברת הקוד הזדוני
התוקפים השתמשו בשיטות מסורתיות כדי לפגוע במטרות: לא רק באמצעות הרשת, אלא גם בעולם הפיזי. לשם כך הם השתמשו בטכניקות חציצה (interdiction) – כשהם מיירטים מוצרים פיזיים ומחליפים אותם בגרסאות המכילות טרויאנים. דוגמא אחת לכך התבצעה על משתתפים בכנס מדענים ביוסטון: בעת החזרה הביתה, חלק מהמשתתפים קיבלו עותק של חומרי הכנס על CD באמצעותו הותקן שתל ה-DoubleFantasy של הקבוצה על מכשיר המטרה. השיטה המדויקת באמצעותה הדיסקים האלה הודבקו אינה ידועה.

חברים ידועים לשמצה: סטוקסנט ופליים
יש קשרים ברורים המצביעים על כך, שקבוצת Equation פעלה בשיתוף עם קבוצות עוצמתיות אחרות, כגון מפעילי סטוקסנט ופליים – בדרך כלל מנקודת עליונות. לקבוצת Equation הייתה גישה לפרצות יום אפס לפני שהם היו בשימוש ע"י סטוקסנט ופליים ובנקודה מסוימת הם שיתפו את הפרצות עם אחרים.

לדוגמא, ב-2008 תולעת Fanny השתמשה ב-2 פרצות יום אפס, שהופעלו בסטוקסנט ביוני 2009 ובמרץ 2010. אחת מ-2 פרצות אלו בסטוקסנט הייתה, למעשה, מודול של פליים,  שניצל את אותה פירצה ושנלקחה ישירות מהפלטפורמה שלו.

תשתית עוצמתית ומבוזרת
קבוצת Equation השתמשה בתשתית פיקוד ושליטה רחבה, שכללה יותר מ-300 דומיינים ויותר מ- 100 שרתים. השרתים התארחו במספר מדינות, כולל ארה"ב, בריטניה, איטליה, גרמניה, הולנד, פנמה, קוסטה ריקה, מלזיה, קולומביה וצ'כיה. מעבדת קספרסקי תפסה שליטה על כמה עשרות שרתים מתוך 300 שרתי הפיקוד והשליטה.

אלפי קורבנות בפרופיל גבוה ובפריסה גלובלית מאז 2001, קבוצת Equation הייתה עסוקה בהדבקה של אלפי, אולי אפילו עשרות אלפי קורבנות, ביותר מ-30 מדינות, כשהיא מכסה את המגזרים הבאים: גופי ממשל ודיפלומטיה, טלקום, חלל ותעופה, אנרגיה, מחקר גרעיני, נפט וגז, צבא, ננו-טכנולוגיה, פעילים ואקדמאים אסלאמיים, גופי תקשורת, תחבורה, גופים פיננסים וחברות המפתחות טכנולוגיות הצפנה.

זיהוי
החברה זיהתה 7 פרצות, שהיו בשימוש בקוד הזדוני של קבוצת Equation. לפחות 4 מתוכן שימשו כמתקפות יום אפס. בנוסף לכך, זוהה שימוש בפרצות בלתי מוכרות, כנראה יום אפס, כנגד פיירפוקס 17 כשהוא בשימוש כדפדפן Tor.

במהלך שלב ההדבקה, לקבוצה הייתה היכולת להשתמש ב-10 פרצות בשרשרת. אך מומחי מעבדת קספרסקי זיהו, שלא נעשה שימוש ביותר מ-3: אם הראשונה לא הצליחה, הם ניסו אחרת, ואז את השלישית. אם כל ה-3 נכשלו, הם לא הדביקו את המערכת.
 
הדו"ח המלא - כאן. או בקישור - כאן.
הגנה ממתקפה
 
 



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

2/11/17 - 28/10/17 - German Tel Aviv Week 2017

31/10/17 -  TLV Generator: 30 days Prototype program  

12-19/11/17 - שבוע היזמות העולמי 2017     

14/11/17 - Red Hat Forum Israel 2017  

29-30/11/17 - Microsoft Tech Summit Tel Aviv 

12/12/17 - Video Trends For 2018 Conference   

29-31/1/18 - CybertechTLV 2018  

5/3/18 - GoforIsrael Investment Conference

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לספטמבר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

קריאה לפיטורים של מנכ"ל משרד התקשורת שלמה פילבר - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים למיבור - כאן

 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
מידע
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Ruckus
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים