Тень АНБ: на чем прокололись авторы супервируса группы Equation

отметили
46
человек
в архиве
«Лаборатория Касперского» (ЛК) рассказала о работе группы Equation, которая научилась заражать прошивку жестких дисков – так, что даже переустановка системы не поможет

ЛК выпустила отчет, посвященный хакерской группе Equation («уравнение») – «одной из самых изощренных групп – организаторов кибератак в мире; она является источником самой серьезной угрозы, какую мы только видели».

Эта группа выпускает вредоносные программы – червь Fanny, который распространяется через интернет и флеш-карты, а также вирусные вредоносные коды Equationdrug и Grayfish, которые меняют прошивку жестких дисков. Флеш-карты позволяют заражать компьютеры, которые даже не подключены к интернету – так, чтобы потом через другие флеш-карты передать интересную авторам вируса информацию. А на зараженном жестком диске вредоносная программа создает специальный раздел, невидимый владельцу компьютера. Избавиться от вируса на компьютере с таким зараженным жестким диском намного сложнее: не поможет даже переустановка операционной системы, вредоносный код пропишется и в нее.

Эксперты ЛК назвали группу «Уравнением» потому, что она любит использовать алгоритмы шифрования и специальные приемы маскировки, пишут авторы отчета ЛК.

Equation однозначно связана с авторами вируса Stuxnet, который нанес ущерб иранской ядерной программе: вредоносные программы Equation первыми использовали две неизвестные широкой публике уязвимости, которые потом перекочевали в Stuxnet. «Это свидетельствует о том, что группа Equation и разработчики Stuxnet или одни и те же люди, или работают вместе», – пишут авторы отчета ЛК.

Участники группы Equation все-таки прокололись, считают эксперты ЛК. Они указывают на то, что ключевое слово – GROK: группировка Equation называла так свою программу для перехвата нажатий клавиатуры (кейлоггер). Такое же название использовало АНБ в документах, которые были предоставлены журналу Der Spiegel перебежчиком Эдвардом Сноуденом. В этих документах словом GROK также называли шпионскую программу-кейлоггер, указывает «Лаборатория Касперского».

По данным ЛК, сейчас в мире около 500 людей и организаций, компьютеры которых заражены вирусами от Equation. Это немного, но, по данным ЛК, группа ежемесячно заражает около 2000 компьютеров. Она очень разборчиво относится к поиску жертв и во многих случаях просто уничтожает свой вредоносный код, если владелец компьютера ей неинтересен.

Код, который исследовали эксперты ЛК, работает на операционных системах Windows. Экспертам ЛК удалось захватить контроль над управляющими серверами вирусов Equation, и они получают из Китая данные, которые отправляют, скорее всего, компьютеры под управлением системы Mac OS от Apple. Кроме того, одна из изученных вредоносных серверных программ специально пытается определить, не работает ли устройство жертвы под управлением системы iOS, на которой работают смартфоны iPhone и планшеты iPad от Apple. Возможно, для них у Equation тоже есть вирусы, заключают авторы отчета ЛК.

Представитель АНБ отказался комментировать агентству Reuters обвинения ЛК. Он заявил, что агентство следует американским законам и директивам Белого дома, чтобы защитить США и союзников «от широкого спектра серьезных угроз».
Добавил 1sr 1sr 18 Декабря 2016
проблема (1)
Комментарии участников:
oleg_ws
+5
oleg_ws, 18 Декабря 2016 , url
По данным ЛК, сейчас в мире около 500 людей и организаций, компьютеры которых заражены вирусами от Equation. Это немного, но, по данным ЛК, группа ежемесячно заражает около 2000 компьютеров. Она очень разборчиво относится к поиску жертв и во многих случаях просто уничтожает свой вредоносный код, если владелец компьютера ей неинтересен.
Не совсем корректно написано. По логики автора текста получается, что эти 500 через месяц заразили еще 2000 человек. Т.е. не 500 зараженных, а уже 2500.
Судя по всему 2000 — это число компьютеров, на которые проникает вирус, но в большинстве случаев делает некую проверку и самоудаляется, а реально заражает не 2000 компьютеров, а очень маленькую часть из них, которые удовлетворяют некоем критериям — целям авторов вируса.
X86
+1
X86, 18 Декабря 2016 , url
Ну там же написано, что заражают, а если жертва им неинтересна, то удаляют вредоносный код.
oleg_ws
0
oleg_ws, 18 Декабря 2016 , url
В том-то и дело, что не заражает, а только проверяет на необходимость заражения
X86
0
X86, 18 Декабря 2016 , url
. Она очень разборчиво относится к поиску жертв и во многих случаях просто уничтожает свой вредоносный код, если владелец компьютера ей неинтересен.
Думаю, что здесь речь как раз уже о уничтожении вредоносного кода с уже зараженного компьютера, с которого уже получили данные.
oleg_ws
0
oleg_ws, 18 Декабря 2016 , url
Не думаю, что бы там было полное заражение. Там скорее всего только некий загрузчик, которые проводить тестирование и только при наличии нужных критериев проводит загрузку всего вируса и инициирует полное заражение компьютера
X86
0
X86, 18 Декабря 2016 , url
Так если некий загрузчик попал в систему и предоставил хозяину возможность доступа к компьютеру, то это уже заражение.
oleg_ws
0
oleg_ws, 18 Декабря 2016 , url
заражение минизагрузчиком, но не самим вирусом. В том и некорректность текста, о которой я изначально и говорю. При подсчете зараженных компьютеров (500 шт) они заражение минизагрузчиком не учитывают, а вот при цифре заражаемых (2000) их считают.
X86
0
X86, 18 Декабря 2016 , url
А откуда вы взяли информацию про минизагрузчик? В статье никаких технических подробностей нет.
oleg_ws
0
oleg_ws, 18 Декабря 2016 , url
Наблюдал процессы заражения компа троянцем. Заражение сайтов примерно по такой же схеме идет. Стандартная схема. Если внимательно прочитать новость — все как раз под эту схему укладывается. Нестандартно только то, что скрытые разделы на диске создает. Заражение флэшек, это как раньше через дискеты вирусы передавались.
X86
0
X86, 18 Декабря 2016 , url
Что мешает функции трояна делать сразу в одном модуле? Зачем загрузчик? Мы же не мире дискет и dialup живем. Грамотно написанный на ассемблере троян, выходящий в нулевое кольцо Windows не нуждается в загрузчиках. Он может перехватывать сетевые приложения системы и использовать их для передачи информации.
oleg_ws
0
oleg_ws, 18 Декабря 2016 , url
Можно было бы и в одном модуле, но так придется весь функционал делать миниатюрным. Кроме того, и я думаю, это основная причина, в этом случае апгрейт самого вируса уже не возможен. Будут гулят все изначально запущенные версии и изменить их уже не возможно. А так на зараженной машине можно и модули абгрейтить и загружаться изначально будут нужные версии. Можно и функционал наращивать.
Олег Цивилёв
0
Олег Цивилёв, 3 Января , url
очень интересно…
Олег Цивилёв
0
Олег Цивилёв, 3 Января , url
верно я так бы и сделал если б было нужно…
Лайм
+2
Лайм, 18 Декабря 2016 , url
Уверен у разведки есть данные по сотрудникам АНБ, силами специального назначения на территории государства Чертей ловится один из таких сотрудников, «исчезает», и после дружеского прессинга на камеру рассказывает в деталях о крысиной работе АНБ, потом запись с таким признанием подкидывается по Максимуму во всевозможные информационные издания. Пусть Мир смотрит Чем занимаются крысы в государстве Чертей…
cheebeez
0
cheebeez, 18 Декабря 2016 , url
Сейчас можно купить 1000 загрузок своего файла на уязвимые компы за 10$ и заразить самописным вирем хоть миллион компов за приемлимые деньги, а тут про 2000 зараженных человек, ну смех))

Кроме того, одна из изученных вредоносных серверных программ специально пытается определить, не работает ли устройство жертвы под управлением системы iOS, на которой работают смартфоны iPhone и планшеты iPad от Apple.
Если устройство работает под iOS, то и вирус должен быть написан именно под iOS, не так ли? Чего там определять-то.

Вот такое УГ пишут копирайтеры за 2$/1тыс знаков.


Войдите или станьте участником, чтобы комментировать