נחשפה קבוצת Equation: הארכי-מרגלת של עולם הסייבר
מאת:
מערכת Telecom News, 17.2.15, 18:38
נחשפו האבות המייסדים של סטוקסנט ופליים. Equation - שחקן עוצמתי עם שליטה אבסולוטית בטכניקות וכלי ריגול סייבר.
במהלך מספר שנים עקב צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי (
GReAT) אחר יותר מ-60 שחקנים מתקדמים האחראים על מתקפות סייבר ברחבי העולם. אחד הדברים הבולטים שעלו היו המורכבות הגוברת והולכת של המתקפות על רקע כניסתן למשחק של יותר ויותר מדינות, שניסו לחמש את עצמן בכלים המתקדמים ביותר. אך רק כעת יכולים המומחים לאשר, שחשפו את השחקן, שעולה על כולם מבחינת מורכבות ותחכום הטכניקות שלו – קבוצת
Equation הפועלת כבר כמעט 2 עשורים.
הקבוצה ייחודית כמעט בכל מאפיין של פעילותה: היא משתמשת בכלים מורכבים ויקרים ביותר לפיתוח במטרה לפגוע בקורבנות, לחלץ מידע ולהסתיר את הפעילות בדרך יוצאת דופן. הקבוצה גם מפעילה טכניקות ריגול קלאסיות כדי להחדיר מטענים זדוניים אל הקורבנות.
כדי לפגוע בקורבנות שלה, הקבוצה השתמשה במאגר נשקים הכולל "שתלים" (טרויאנים), שנקראו ע"י מעבדת קספרסקי:
EquationLaser,
EquationDrug,
DoubleFantasy,
TripleFantasy,
Fanny ו-
GrayFish. ללא ספק קיימים "שתלים" נוספים בנמצא.
מה הופך את Equation לקבוצה ייחודית?
עמידות ושקיפות אולטימטיביות
צוות המחקר הצליח לחשוף 2 מודולים, שאיפשרו תכנות מחדש של חומרת דיסק קשיח של יותר מ-10 מותגי HDD נפוצים. זהו אולי הכלי העוצמתי ביותר במאגר הנשקים של הקבוצה, וזהו גם הקוד הזדוני הראשון, שידוע כי הוא מסוגל לפגוע בכוננים קשיחים.
באמצעות תכנות מחדש של תוכנת הדיסק הקשיח (כתיבה מחדשה של מערכת ההפעלה של הדיסק הקשיח) הקבוצה השיגה 2 מטרות:
1. רמה גבוהה ביותר של עמידות, שמסייעת לשרוד פירמוט של הדיסק או התקנה מחדש של מערכת הפעלה. אם הקוד הזדוני נכנס למערכת הדיסק הקשיח, הוא מסוגל "להחיות" את עצמו מחדש לעד. הוא עלול גם למנוע מחיקה של אזורים מסוימים בדיסק או להחליף אותם בקוד זדוני במהלך אתחול של המערכת.
קוסטין ריאו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "דבר מסוכן נוסף הוא, שברגע שהדיסק נדבק בקוד הזדוני, בלתי אפשרי לסרוק את המערכת שלו. אם לפרט: ברוב הדיסקים הקשיחים יש פונקציות לכתיבה אל תוך האזור של תוכנת (תווכת) הדיסק, אבל אין פונקציות כדי לקרוא אותו בחזרה. המשמעות היא, שלמעשה אנו עיוורים ולא יכולים לזהות דיסק קשיח שנפגע ע"י קוד זדוני זה".
2. היכולת ליצור אזור עמיד ושקוף בתוך הדיסק הקשיח. הוא משמש כדי לשמור מידע שחולץ, אותו התוקפים יוכלו להוציא בשלב מאוחר יותר. בנוסף, במקרים מסוימים הוא יכול לסייע לקבוצה לפענח הצפנה.
קוסטין ריאו: "אם לוקחים בחשבון את העובדה, ששתל ה-
GrayFish פעיל מרגע אתחול המערכת, אז יש לו את היכולת ללכוד את סיסמת ההצפנה ולשמור אותה באזור המוסתר".
היכולת לחלץ נתונים מתוך רשתות מבודדות
תולעת Fanny בולטת במיוחד על רקע כל המתקפות, שבוצעו ע"י קבוצת Equation. המטרה המרכזית שלה הייתה למפות רשתות מבודדות, או במילים אחרות, להבין את מבנה הרשת, שלא ניתן להגיע אליו, ולהפעיל פקודות עבור מערכות מבודדות אלה. לשם כך היא השתמשה בפקודת USB ייחודית ובמנגנון שליטה המאפשרים לתוקפים להעביר נתונים קדימה ואחורה מתוך הרשתות המבודדות.
בעיקר נעשה שימוש בהתקני
'USB שהודבקו עם אזור אחסון נסתר, על מנת לאסוף נתונים של מערכות בסיסיות ממחשבים, שאינם מקושרים לאינטרנט. הנתונים נשלחו חזרה לשרתי הפיקוד והשליטה כאשר כונן ה-
USB חובר פעם נוספת למחשב, שהודבק ע"י
Fanny ושיש לו קישוריות לאינטרנט. אם התוקפים רצו להריץ פקודה ברשתות המבודדות, הם יכלו לשמור את הפקודות האלה באזור נסתר בכונן ה-
USB. כאשר הכונן חובר לתוך מחשב ברשת המובדדת,
Fanny זיהתה את הפקודות והפעילה אותן.
שיטות ריגול מסורתיות להעברת הקוד הזדוני
התוקפים השתמשו בשיטות מסורתיות כדי לפגוע במטרות: לא רק באמצעות הרשת, אלא גם בעולם הפיזי. לשם כך הם השתמשו בטכניקות חציצה (interdiction) – כשהם מיירטים מוצרים פיזיים ומחליפים אותם בגרסאות המכילות טרויאנים. דוגמא אחת לכך התבצעה על משתתפים בכנס מדענים ביוסטון: בעת החזרה הביתה, חלק מהמשתתפים קיבלו עותק של חומרי הכנס על CD באמצעותו הותקן שתל ה-DoubleFantasy של הקבוצה על מכשיר המטרה. השיטה המדויקת באמצעותה הדיסקים האלה הודבקו אינה ידועה.
חברים ידועים לשמצה: סטוקסנט ופליים
יש קשרים ברורים המצביעים על כך, שקבוצת
Equation פעלה בשיתוף עם קבוצות עוצמתיות אחרות, כגון מפעילי סטוקסנט ופליים –
בדרך כלל מנקודת עליונות. לקבוצת
Equation הייתה גישה לפרצות יום אפס לפני שהם היו בשימוש ע"י סטוקסנט ופליים ובנקודה מסוימת הם שיתפו את הפרצות עם אחרים.
לדוגמא, ב-2008 תולעת
Fanny השתמשה ב-2 פרצות יום אפס, שהופעלו בסטוקסנט ביוני 2009 ובמרץ 2010. אחת מ-2 פרצות אלו בסטוקסנט הייתה, למעשה, מודול של פליים, שניצל את אותה פירצה ושנלקחה ישירות מהפלטפורמה שלו.
תשתית עוצמתית ומבוזרת
קבוצת Equation השתמשה בתשתית פיקוד ושליטה רחבה, שכללה יותר מ-300 דומיינים ויותר מ- 100 שרתים. השרתים התארחו במספר מדינות, כולל ארה"ב, בריטניה, איטליה, גרמניה, הולנד, פנמה, קוסטה ריקה, מלזיה, קולומביה וצ'כיה. מעבדת קספרסקי תפסה שליטה על כמה עשרות שרתים מתוך 300 שרתי הפיקוד והשליטה.
אלפי קורבנות בפרופיל גבוה ובפריסה גלובלית מאז 2001, קבוצת Equation הייתה עסוקה בהדבקה של אלפי, אולי אפילו עשרות אלפי קורבנות, ביותר מ-30 מדינות, כשהיא מכסה את המגזרים הבאים: גופי ממשל ודיפלומטיה, טלקום, חלל ותעופה, אנרגיה, מחקר גרעיני, נפט וגז, צבא, ננו-טכנולוגיה, פעילים ואקדמאים אסלאמיים, גופי תקשורת, תחבורה, גופים פיננסים וחברות המפתחות טכנולוגיות הצפנה.
זיהוי
החברה זיהתה 7 פרצות, שהיו בשימוש בקוד הזדוני של קבוצת Equation. לפחות 4 מתוכן שימשו כמתקפות יום אפס. בנוסף לכך, זוהה שימוש בפרצות בלתי מוכרות, כנראה יום אפס, כנגד פיירפוקס 17 כשהוא בשימוש כדפדפן Tor.
במהלך שלב ההדבקה, לקבוצה הייתה היכולת להשתמש ב-10 פרצות בשרשרת. אך מומחי מעבדת קספרסקי זיהו, שלא נעשה שימוש ביותר מ-3: אם הראשונה לא הצליחה, הם ניסו אחרת, ואז את השלישית. אם כל ה-3 נכשלו, הם לא הדביקו את המערכת.
הדו"ח המלא -
כאן. או בקישור -
כאן.
