返回新闻列表

Equation网络犯罪组织:网络间谍攻击的顶级缔造者

        多年以来,卡巴斯基实验室全球研究与分析团队(GReAT)一直对超过60个高级威胁网络犯罪组织进行密切监视。而且正是这些犯罪团伙造成了全球大范围的网络攻击。卡巴斯基全球研究和分析团队几乎见证了这一切:随着越来越多的国家开始使用高级网络工具武装自己,网络攻击已日趋复杂化。现在,卡巴斯基实验室的安全专家确认,他们发现了一个网络犯罪组织,其在攻击复杂性和攻击技巧方面超越了所有已知的网络犯罪组织。我们称其为Equation网络犯罪组织(The Equation Group)。该组织已活跃了近20年。

        根据卡巴斯基实验室研究人员的调查,这一网络犯罪组织的行为几乎在各个方面都很特殊:他们使用的工具非常复杂,而且开发成本很高,他们利用这些工具感染受害者,通过非常专业的手段窃取数据,并且隐藏自身。此外,他们还使用了典型的间谍攻击技巧,将恶意负载植入受害者。

       为了感染受害者,该网络犯罪组织使用了强大的“植入物”(木马)武器,包括以下经卡巴斯基实验室命名的木马程序:EquationLaser、 EquationDrug、DoubleFantasy、TripleFantasy、Fanny和GrayFish。毫无疑问,还有其他未被发现的“植入物”存在。

The Equation Group为何如此特殊?

极高的持久性和隐蔽性

       全球研究和分析团队发现了两个恶意模块,可以对数十种常见品牌的硬盘固件重新进行编程。这可能是Equation Group所掌握的最强大的武器,同时也是首个已知的能够直接感染硬盘的恶意软件。

       网络罪犯可通过重新编程硬盘固件(即重写磁盘驱动器的操作系统),达到以下目的:

       1. 可以让恶意软件达到极高的顽固性,甚至在格式化磁盘和重装系统后仍然能够存活。如果恶意软件入侵磁盘固件,它将无限次地“复活”。它可能会阻止删除某个特定的磁盘扇区,或在系统重启过程中将其替换为恶意代码。

       “还有一种危险,即当磁盘被感染后,就无法对其固件进行扫描。简言之:大多数硬盘只能对其硬件固件区域进行写入,却不具备读取功能。这意味着,我们几乎对此一无所知,无法检测磁盘是否被该恶意软件所感染”——卡巴斯基实验室全球研究和分析团队总监Costin Raiu警告说。

       2. 可以在磁盘上创建一个持久的隐藏区域。这一区域可用以存储网络罪犯窃取到的信息,之后再将其取走。此外,有些时候还可以帮助网络罪犯破译数据加密:“由于GrayFish木马在系统启动初始阶段就处于活动状态,它能够截取加密密码,并将其保存在磁盘的隐藏区域,”Costin Raiu解释说。

能够从隔离网络中获取数据

       在Equation Group发动的所有攻击中,Fanny蠕虫的攻击仍然十分突出。其攻击的主要目地是标注和绘制与外界不安全网络隔离的安全网络,换句话说,就是了解外部无法访问的内部网络拓扑图,在这些隔离系统中执行命令。为了实现这一目的,该恶意软件使用了一种独特的基于USB的命令和控制机制,允许攻击者向与外界不安全网络隔离的安全网络中来回传送数据。

       此外,攻击者还会使用包含一个隐藏区域的受感染U盘,从未联网的计算机上收集基础系统信息。当该U盘被插入到被Fanny感染的联网计算机上时,Fanny蠕虫会将收集到的系统信息发送至命令和控制中心。如果攻击者想要在与外界不安全网络隔离的安全网络中执行命令,可以将这些命令存储在U盘的隐藏区域。当U盘被插入到安全网络中的计算机上时,Fanny会识别出并执行这些命令。

利用典型的网络间谍攻击手段

       攻击者使用多种常用手段感染目标,包括网络和物理手段。为了通过物理手段进行感染,攻击者会截获实物,然后利用木马版本文件替换其中内容。例如,在休斯敦举办的一场科学研讨会中,有些参会人员在离开时,会收到一张包含会议内容的光盘。Equation Group正是利用这些光盘在受攻击者的计算机上植入DoubleFantasy恶意软件。但是,攻击者究竟是如何阻断这些光盘,对此我们不得而知。

臭名昭著的朋友:Stuxnet和Flame

       目前有切实的证据表明,Equation Group和其他网络犯罪组织有关联,例如Stuxnet和Flame幕后的操纵者。但是,Equation Group通常处于优越地位。早在Stuxnet和Flame使用零日漏洞进行攻击之前,Equation Group就已经掌握了这些零日漏洞。有些时候,他们还会同其他网络犯罪组织分享漏洞利用程序。

       例如,Fanny曾经在2008年使用了两种零日漏洞进行攻击,而此后这两种漏洞于2009年6月和2010年3月被Stuxnet所采用。Stuxnet使用的其中一个零日漏洞其实是一种Flame模块,它们所攻击的漏洞一致,该模块直接取自Flame平台,之后被添加入Stuxnet。

地理分布广泛的强大的基础设施

       Equation Group使用了大量命令和控制基础设施,包括超过300个域名和超过100台服务器。服务器位于多个国家,包括美国、英国、意大利、德国、荷兰、巴拿马、哥斯达黎加、马来西亚、哥伦比亚和捷克。卡巴斯基实验室目前正在对300个命令和控制服务器中的几十个进行Sinkhole。

全球数千个知名受害者

       从2001年到现在,Equation Group已经在全球超过30个国家感染了数千个,甚至上万个受害者。这些受害者包括以下行业和机构:政府和外交机构、电信行业、航空行业、能源行业、核能研究机构、石油和天然气行业、军工行业、纳米技术行业、伊斯兰激进分子和学者、大众媒体、交通行业、金融机构以及加密技术开发企业等。

检测

       卡巴斯基实验室发现Equation Group在其开发的恶意软件中使用了7种漏洞利用程序。其中至少有4种为零日漏洞。此外,还发现他们使用了未知的漏洞利用程序,很可能是零日漏洞,用于攻击Tor浏览器使用的Firefox 17。

       攻击者在感染阶段能够连续使用10种漏洞利用程序。但是,卡巴斯基实验室的专家发现他们通常不会使用超过3个漏洞利用程序:如果第一个没有成功感染,就会使用第二个,接下来使用第三个。如果这些漏洞利用程序都没有成功感染,则放弃入侵这一系统。

       卡巴斯基实验室产品在用户计算机上检测到多次试图感染用户的行为。但这些攻击大多都以失败而告终,这得益于卡巴斯基的自动漏洞入侵防护技术。该技术能够检测和拦截利用未知漏洞的攻击。根据推测,Fanny蠕虫应该是在2008年7月被编写出来,而卡巴斯基的自动拦截系统在2008年12月就已经能够检测和拦截这款恶意软件。

       请访问Securelist.com上的博文,了解更多关于Equation Group的详情。