«Лаборатория Касперского» обнаружила самую опасную кибершпионскую группировку

Специалисты Лаборатории Касперского» сообщили о раскрытии акции кибершпионажа, которая превосходит по своим масштабам, инструментам и эффективности все известные на сегодня вредоносные атаки. Кибергруппа, получившая название Equation Group, ведет свою деятельность на протяжении почти двадцати лет, и ее действия затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира. Наибольшее количество жертв Equation Group было зафиксировано в России и Иране. Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. В настоящее время «Лаборатория Касперского» контролирует около 20 серверов группы. Главные цели злоумышленников – правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ, исламские активисты и ученые.

В арсенале Equation Group множество зловредов, включая и крайне новаторские. К примеру, «Лаборатория Касперского» впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных производителей. Таким образом злоумышленники добиваются двух целей: во-первых, однажды попав в ОС жесткого диска, зловред остается там навсегда – его невозможно ни обнаружить, ни удалить даже при полном форматировании. Во-вторых, у атакующих есть возможность создать секретное хранилище, где может безопасно собираться вся необходимая информация.

Кроме того, Equation Group использует червя Fanny, который позволяет получать данные с компьютера, даже если он отключен от глобальной сети. Для этого через уже зараженный компьютер атакующие «поселяют» червя в USB-флешке, и этот зловред в свою очередь создает на съемном носителе скрытый сектор, в который собирает всю информацию об архитектуре изолированной сети. В момент попадания на компьютер, подключенный к Интернету, червь с USB передает все данные на сервер Equation Group. Атакующие также могут добавить необходимые команды в тот же скрытый сектор на флешке, и впоследствии при попадании на изолированную машину червь выполнит эти команды.

«Лаборатория Касперского» установила, что Equation Group взаимодействовала с другими кибергруппировками, в частности с организаторами нашумевших кампаний Stuxnet и Flame. По всей вероятности, Equation Group делилась с «коллегами» имевшимися у нее эксплойтами, использующими уязвимости нулевого дня. Например, в 2008 году червь Fanny применял те эксплойты, которые появились в Stuxnet только в июне 2009-го и марте 2010-го, при этом один из этих эксплойтов являлся модулем Flame. Можно напомнить, что разработчиками ПО и организаторами атак Stuxnet и Flame считаются спецслужбы США и Израиля.

«Традиционно создатели шпионского программного обеспечения решают две главные задачи: как сделать так, чтобы программа попала на компьютер жертвы, и как обеспечить ее устойчивость к антивирусам и другим средствам защиты. Здесь крайне интересно решены обе задачи: во-первых, программный модуль устанавливается сразу же вместе с жестким диском, а во-вторых, он находится в той области, которую практически не сканируют антивирусы и системы мониторинга. Можно сказать, что создатели этого вируса открыли новую страницу в истории противостояния хакеров и производителей систем защиты» - считает заместитель генерального директора Технического центра Интернет Марина Никерова.