Kaspersky descubre el antepasado de Stuxnet y Flame: El “todopoderoso” Equation Group

Panam谩, Costa Rica y Colombia figuran entre los pa铆ses donde est谩 instalada la infraestructura C&C (mando y control) que le permite operar.

Durante varios a帽os, el GREAT de Kaspersky Lab ha seguido de cerca m谩s de 60 actores de amenazas avanzadas responsables de ciberataques de todo el mundo. El equipo de analistas, que ha visto ataques cada vez m谩s complejos a medida que los Estados se involucraron y trataron de armarse, confirman que han descubierto un actor de amenaza que supera todo lo conocido en t茅rminos de complejidad y sofisticaci贸n t茅cnicas y que ha estado activo durante casi dos d茅cadas 鈥 Equation Group.

Seg煤n los investigadores de Kaspersky Lab, es 煤nico en casi todos los aspectos de sus actividades: utiliza herramientas que son muy complicadas y caras de desarrollar, con el fin de infectar a las v铆ctimas, recuperar datos y ocultar la actividad de una manera extraordinariamente profesional y utiliza t茅cnicas del espionaje cl谩sico para entregar cargas maliciosas a las v铆ctimas.

Para infectar a sus v铆ctimas, Equation Group utiliza un potente arsenal de “implantes” (troyanos), incluyendo los siguientes: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish.

驴Qu茅 hace a Equation Group 煤nico?

Persistencia e invisibilidad: El GREAT ha sido capaz de recuperar dos m贸dulos que permiten una reprogramaci贸n del firmware del disco duro de m谩s de una docena de marcas populares de HDD. Esta es quiz谩s la herramienta m谩s poderosa de Equation Group y el primer malware conocido capaz de infectar a los discos duros.

Reprogramando el firmware del disco duro (es decir, volver a escribir el sistema operativo del disco duro), el grupo logra dos prop贸sitos:

1. Un nivel de persistencia extremo que ayuda a sobrevivir al formateo del disco y a la reinstalaci贸n del sistema operativo. Si el malware se mete en el firmware, ya est谩 listo para “resucitar” para siempre.

“Otra cosa peligrosa es que una vez que el disco duro se infecta con esta carga maliciosa es imposible escanear su firmware. En pocas palabras: para la mayor铆a de los discos duros hay funciones para escribir en el 谩rea de firmware del hardware, pero no hay funciones para leer de nuevo. Significa que estamos pr谩cticamente ciegos y no podemos detectar los discos duros que han sido infectados por este malware”- advierte Costin Raiu, director del Equipo de Investigaci贸n y An谩lisis Global de Kaspersky Lab.

2. La capacidad de crear una zona invisible, persistente, oculta dentro del disco duro. Se utiliza para guardar informaci贸n extra铆da que puede ser posteriormente recuperada por los ciberatacantes. Adem谩s, en algunos casos puede ayudar al grupo cancelar el cifrado.

“Teniendo en cuenta el hecho de que su implante GrayFish est谩 activo desde el arranque del sistema, tienen la capacidad de capturar la contrase帽a de cifrado y guardarlo en esta oculta zona”, explica Costin Raiu.

Capacidad para recuperar datos de redes aisladas: El gusano Fanny destaca de entre todos los ataques perpetrados por Equation Group. Su objetivo principal es mapear redes con 鈥渁ir gap鈥, es decir, entender la topolog铆a de una red que no puede ser alcanzada y ejecutar comandos para esos sistemas aislados. Para ello se utiliza un mecanismo de control y comando alojado en un USB que permite a los atacantes intercambiar datos entre redes con 鈥渁ir gap鈥.

Concretamente, un USB infectado presenta una zona de almacenamiento oculta que se utiliza para recoger informaci贸n b谩sica del sistema de un ordenador no conectado a Internet que se env铆a al C&C cuando el dispositivo USB se conecta a un equipo infectado por Fanny con acceso a Internet.聽 Si los atacantes quieren ejecutar comandos en las redes 鈥渁ir gap鈥 pueden hacerlo聽 guard谩ndolos en la zona oculta del USB. Cuando este USB se introduce en un equipo 鈥渁ir gap鈥, Fanny reconoce los comandos y los ejecuta.

M茅todos cl谩sicos de espionaje para propagar malware: Los ciberdelincuentes utilizaron m茅todos universales para llegar a sus objetivos tanto a trav茅s de la web como en el mundo real. Para ello, interceptaban objetos f铆sicos y los reemplazaban por versiones infectadas; por ejemplo, los participantes de una conferencia cient铆fica en Huston recibieron una copia del material del evento en un CD-ROM que fue utilizado para instalar Double Fantasy en los equipos objetivo.

Amigos infames: Stuxnet y Flame

Hay v铆nculos que relacionan聽 a聽 Equation Group con otros grupos poderosos como los operadores Stuxnet y Flame. Adem谩s, ten铆a acceso a zero-days antes de que fueran utilizados聽por Stuxnet y Flame y聽 en alg煤n punto, han compartido exploits .

Por ejemplo, en 2008 Fanny utiliz贸 dos zero-days聽 que se introdujeron en Stuxnet en junio de 2009 y marzo de 2010. Uno de esos zero-days de Stuxnet era,de hecho, un modulo de Flame que explota la misma vulnerabilidad 聽y que fue extra铆do directamente de la plataforma de Flame para introducirse en Stuxnet.

Infraestructura potente y geogr谩ficamente distribuida

Equation Group utiliza una extensa infraestructura C&C que incluye m谩s de 300 dominios y m谩s de 100 servidores. Los servidores est谩n alojados en m煤ltiples pa铆ses, incluyendo Estados Unidos, Reino Unido, Italia, Alemania, Holanda, Panam谩, Costa Rica, Malasia, Colombia y Rep煤blica Checa. Kaspersky Lab est谩 actualmente 鈥榮ecuestrando鈥 un par de docenas de los 300 servidores C&C.

Miles de v铆ctimas de alto perfil en todo el mundo

Desde 2001, Equation Group ha infectado miles, o incluso, decenas de miles de v铆ctimas en m谩s de 30 pa铆ses en todo el mundo, de los siguientes sectores: instituciones gubernamentales y diplom谩ticas, telecomunicaciones, aeroespacial, energ铆a, investigaci贸n nuclear, petr贸leo y gas, nanotecnolog铆a, activistas isl谩micos y escolares, medios de comunicaci贸n, transporte, instituciones financieras y empresas que desarrollan tecnolog铆as de cifrado.

Detecci贸n

Kaspersky Lab observ贸 siete exploits que Equation Group usaba en su malware. Al menos, cuatro de ellos fueron usados como zero-day. Adem谩s, se observ贸 el uso de exploits desconocidos, posiblemente zero-day, contra Firefox 17, tal como se usa en el navegador Tor.

Durante la fase de infecci贸n, el grupo ten铆a la habilidad de usar diez exploits en cadena. Sin embargo, los expertos de Kaspersky Lab observaron que no usaban m谩s de tres: si el primero no ten铆a 茅xito, probaban con otro y luego con el tercero. Si los tres exploits fallaban, no infectaban el sistema.

Los productos de Kaspersky detectaron un n煤mero de intentos de atacar a sus usuarios. Muchos de estos ataques no tuvieron 茅xito debido a la tecnolog铆a de prevenci贸n autom谩tica de exploits, que detecta y bloquea gen茅ricamente la explotaci贸n de vulnerabilidades desconocidas. El gusano Fanny, presumiblemente agrupado en julio de 2008, se detect贸 por primera vez y se integr贸 en la lista negra de nuestros sistemas autom谩ticos en diciembre de 2008.

M谩s informaci贸n sobre 聽Equation group en Securelist.com.

Ilustraci贸n:聽Sergey Nivens 漏 Shutterstock.com


Evento 15/12 驴C贸mo prepararse para un futuro que abre tantas posibilidades? Un selecto panel de visionarios del sector explorar谩 el potencial que ofrece 5G.
Evento 1/12 驴Cu谩nto costar铆a en el mercado negro un sistema de autoconducci贸n completamente desarrollado? Panel de expertos liderado por Mauricio S谩nchez de Dell'Oro Group aborda el imperativo de proteger los activos de TI e IA.

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.