Kaspersky descubre el antepasado de Stuxnet y Flame: El “todopoderoso” Equation Group

Panamá, Costa Rica y Colombia figuran entre los países donde está instalada la infraestructura C&C (mando y control) que le permite operar.

Durante varios a√Īos, el GREAT de Kaspersky Lab ha seguido de cerca m√°s de 60 actores de amenazas avanzadas responsables de ciberataques de todo el mundo. El equipo de analistas, que ha visto ataques cada vez m√°s complejos a medida que los Estados se involucraron y trataron de armarse, confirman que han descubierto un actor de amenaza que supera todo lo conocido en t√©rminos de complejidad y sofisticaci√≥n t√©cnicas y que ha estado activo durante casi dos d√©cadas ‚Äď Equation Group.

Seg√ļn los investigadores de Kaspersky Lab, es √ļnico en casi todos los aspectos de sus actividades: utiliza herramientas que son muy complicadas y caras de desarrollar, con el fin de infectar a las v√≠ctimas, recuperar datos y ocultar la actividad de una manera extraordinariamente profesional y utiliza t√©cnicas del espionaje cl√°sico para entregar cargas maliciosas a las v√≠ctimas.

Para infectar a sus v√≠ctimas, Equation Group utiliza un potente arsenal de “implantes” (troyanos), incluyendo los siguientes: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish.

¬ŅQu√© hace a Equation Group √ļnico?

Persistencia e invisibilidad: El GREAT ha sido capaz de recuperar dos módulos que permiten una reprogramación del firmware del disco duro de más de una docena de marcas populares de HDD. Esta es quizás la herramienta más poderosa de Equation Group y el primer malware conocido capaz de infectar a los discos duros.

Reprogramando el firmware del disco duro (es decir, volver a escribir el sistema operativo del disco duro), el grupo logra dos propósitos:

1. Un nivel de persistencia extremo que ayuda a sobrevivir al formateo del disco y a la reinstalaci√≥n del sistema operativo. Si el malware se mete en el firmware, ya est√° listo para “resucitar” para siempre.

“Otra cosa peligrosa es que una vez que el disco duro se infecta con esta carga maliciosa es imposible escanear su firmware. En pocas palabras: para la mayor√≠a de los discos duros hay funciones para escribir en el √°rea de firmware del hardware, pero no hay funciones para leer de nuevo. Significa que estamos pr√°cticamente ciegos y no podemos detectar los discos duros que han sido infectados por este malware”- advierte Costin Raiu, director del Equipo de Investigaci√≥n y An√°lisis Global de Kaspersky Lab.

2. La capacidad de crear una zona invisible, persistente, oculta dentro del disco duro. Se utiliza para guardar información extraída que puede ser posteriormente recuperada por los ciberatacantes. Además, en algunos casos puede ayudar al grupo cancelar el cifrado.

“Teniendo en cuenta el hecho de que su implante GrayFish est√° activo desde el arranque del sistema, tienen la capacidad de capturar la contrase√Īa de cifrado y guardarlo en esta oculta zona”, explica Costin Raiu.

Capacidad para recuperar datos de redes aisladas: El gusano Fanny destaca de entre todos los ataques perpetrados por Equation Group. Su objetivo principal es mapear redes con ‚Äúair gap‚ÄĚ, es decir, entender la topolog√≠a de una red que no puede ser alcanzada y ejecutar comandos para esos sistemas aislados. Para ello se utiliza un mecanismo de control y comando alojado en un USB que permite a los atacantes intercambiar datos entre redes con ‚Äúair gap‚ÄĚ.

Concretamente, un USB infectado presenta una zona de almacenamiento oculta que se utiliza para recoger informaci√≥n b√°sica del sistema de un ordenador no conectado a Internet que se env√≠a al C&C cuando el dispositivo USB se conecta a un equipo infectado por Fanny con acceso a Internet.¬† Si los atacantes quieren ejecutar comandos en las redes ‚Äúair gap‚ÄĚ pueden hacerlo¬† guard√°ndolos en la zona oculta del USB. Cuando este USB se introduce en un equipo ‚Äúair gap‚ÄĚ, Fanny reconoce los comandos y los ejecuta.

Métodos clásicos de espionaje para propagar malware: Los ciberdelincuentes utilizaron métodos universales para llegar a sus objetivos tanto a través de la web como en el mundo real. Para ello, interceptaban objetos físicos y los reemplazaban por versiones infectadas; por ejemplo, los participantes de una conferencia científica en Huston recibieron una copia del material del evento en un CD-ROM que fue utilizado para instalar Double Fantasy en los equipos objetivo.

Amigos infames: Stuxnet y Flame

Hay v√≠nculos que relacionan¬† a¬† Equation Group con otros grupos poderosos como los operadores Stuxnet y Flame. Adem√°s, ten√≠a acceso a zero-days antes de que fueran utilizados¬†por Stuxnet y Flame y¬† en alg√ļn punto, han compartido exploits .

Por ejemplo, en 2008 Fanny utilizó dos zero-days  que se introdujeron en Stuxnet en junio de 2009 y marzo de 2010. Uno de esos zero-days de Stuxnet era,de hecho, un modulo de Flame que explota la misma vulnerabilidad  y que fue extraído directamente de la plataforma de Flame para introducirse en Stuxnet.

Infraestructura potente y geogr√°ficamente distribuida

Equation Group utiliza una extensa infraestructura C&C que incluye m√°s de 300 dominios y m√°s de 100 servidores. Los servidores est√°n alojados en m√ļltiples pa√≠ses, incluyendo Estados Unidos, Reino Unido, Italia, Alemania, Holanda, Panam√°, Costa Rica, Malasia, Colombia y Rep√ļblica Checa. Kaspersky Lab est√° actualmente ‚Äėsecuestrando‚Äô un par de docenas de los 300 servidores C&C.

Miles de víctimas de alto perfil en todo el mundo

Desde 2001, Equation Group ha infectado miles, o incluso, decenas de miles de víctimas en más de 30 países en todo el mundo, de los siguientes sectores: instituciones gubernamentales y diplomáticas, telecomunicaciones, aeroespacial, energía, investigación nuclear, petróleo y gas, nanotecnología, activistas islámicos y escolares, medios de comunicación, transporte, instituciones financieras y empresas que desarrollan tecnologías de cifrado.

Detección

Kaspersky Lab observó siete exploits que Equation Group usaba en su malware. Al menos, cuatro de ellos fueron usados como zero-day. Además, se observó el uso de exploits desconocidos, posiblemente zero-day, contra Firefox 17, tal como se usa en el navegador Tor.

Durante la fase de infección, el grupo tenía la habilidad de usar diez exploits en cadena. Sin embargo, los expertos de Kaspersky Lab observaron que no usaban más de tres: si el primero no tenía éxito, probaban con otro y luego con el tercero. Si los tres exploits fallaban, no infectaban el sistema.

Los productos de Kaspersky detectaron un n√ļmero de intentos de atacar a sus usuarios. Muchos de estos ataques no tuvieron √©xito debido a la tecnolog√≠a de prevenci√≥n autom√°tica de exploits, que detecta y bloquea gen√©ricamente la explotaci√≥n de vulnerabilidades desconocidas. El gusano Fanny, presumiblemente agrupado en julio de 2008, se detect√≥ por primera vez y se integr√≥ en la lista negra de nuestros sistemas autom√°ticos en diciembre de 2008.

Más información sobre  Equation group en Securelist.com.

Ilustración: Sergey Nivens © Shutterstock.com




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.