Home Công nghệ số Bảo mật Điều gì tạo nên sự độc đáo của Equation Group?

Điều gì tạo nên sự độc đáo của Equation Group?

0
ZeuS-Banking-Trojan-equipped-with-Rootkit-to-Protect

Viện nghiên cứu và phân tích toàn cầu Kaspersky Lab (GReAT) đã giám sát chặt chẽ hơn 60 mối đe dọa, chịu trách nhiệm về các cuộc tấn công mạng trên toàn thế giới.

ZeuS-Banking-Trojan-equipped-with-Rootkit-to-Protect

 

Các mối đe dọa ngày càng phức tạp hơn vì sự tham gia của nhiều quốc gia được trang bị những công cụ tiên tiến nhất. Mặc dù vậy, các chuyên gia Kaspersky Lab đã phát hiện một nhóm tin tặc đã hoạt động trong gần hai thập kỷ, nổi bật bởi các kỹ thuật phức tạp và tinh vi, mang tên The Equatation Group.

Theo Kaspersky Lab, sự độc đáo của Equation Group thể hiện qua các khía cạnh hoạt động như việc sử dụng các công cụ rất phức tạp và đắt đỏ để lây nhiễm nạn nhân, đánh cắp dữ liệu, che đậy giấu vết một cách chuyên nghiệp, và tận dụng các kỹ thuật gián điệp cổ điển để phát tán phần mềm độc hại.

Để lây nhiễm nạn nhân, Equation Group sử dụng kĩ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.

Khả năng bền bỉ và tàng hình

GReAT đã có thể khôi phục lại hai mô-đun cho phép việc tái lập trình firmware ổ cứng của hơn một tá nhãn hiệu HDD phổ biến. Đây có lẽ là công cụ mạnh mẽ nhất trong kho vũ khí của Equation Group và khả năng đầu tiên được biết đến là lây nhiễm phần mềm độc hại cho các ổ đĩa cứng. Bằng cách tái lập trình firmware của ổ cứng (tức là viết lại hệ điều hành của ổ đĩa cứng), nhóm đạt được hai mục đích:

1. Phần mềm độc hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặt hệ điều hành. Nếu mã độc được đưa vào firmware, nó có thể tự hồi sinh mãi mãi. Nó có thể ngăn chặn việc xóa một khu vực nhất định hoặc thay thế một ổ địa khác trong quá trình khởi động hệ thống.
Costin Raiu, Giám đốc GReAT Kaspersky Lab, cho biết: “Một điều nguy hiểm là khi ổ cứng bị nhiễm độc, nó không thể tự quét firmware. Nguyên nhân là do hầu hết các ổ cứng có chức năng để viết vào phần cứng của firmware nhưng không có chức năng để đọc nó trở lại.”

2. Khả năng tạo ra một thế giới vô hình ẩn bên trong ổ đĩa cứng. Nó được sử dụng để lưu thông tin bí mật mà sau này có thể được lấy ra bởi những kẻ tấn công. Ngoài ra, trong một số trường hợp, nó có thể giúp nhóm để crack các mật mã: “Thực tế rằng việc chúng cấy ghép GrayFish từ việc khởi động hệ thống, có thể giúp chúng nắm bắt các mật khẩu mã hóa và lưu nó vào khu vực ẩn này,” Costin Raiu nói thêm.

Khả năng truy xuất dữ liệu từ các mạng bị cô lập

Sâu Fanny được phát hiện ra từ tất cả các cuộc tấn công được thực hiện bởi các nhóm Equation. Mục đích chính của nó là để lập bản đồ hệ thống mạng cô lập (air-gapped network), nói cách khác là để hiểu được cấu trúc liên kết của một mạng lưới mà chúng không thể đạt được và để thực hiện lệnh cô lập hệ thống. Để làm được điều này, nó sử dụng 1 USB đặc biệt dựa trên cơ chế C&C cho phép kẻ tấn công truyền dữ liệu qua lại từ air-gapped network.

Khi một USB nhiễm độc có một khu vực lưu trữ ẩn, được sử dụng để thu thập thông tin cơ bản từ máy tính không kết nối Internet và gửi thông tin về máy chủ C&C. Khi USB được cắm vào một máy tính bị nhiễm sâu Fanny và có kết nối Internet. Nếu kẻ tấn công muốn chạy lệnh trên air-gapped network, chúng có thể lưu được các lệnh này trong khu vực ẩn của USB. Khi USB được cắm trở lại vào các máy trong mạng cô lập, sâu Fanny sẽ nhận lệnh và thực thi chúng.

Phương pháp gián điệp cổ điển để phát tán phần mềm độc hại

Những kẻ tấn công sử dụng phương pháp phổ quát để lây nhiễm các mục tiêu: không chỉ thông qua các trang web, mà còn trong thế giới vật chất. Chúng đã dùng một kỹ thuật ngăn chặn hàng hóa vật lý và thay thế những hàng hóa này bằng các phiên bản đã nhiễm Trojan. Một trường hợp tấn công thực tế được ghi nhận như sau: một số đại biểu tham gia tại hội nghị khoa học ở Houston: khi trở về nhà đã nhận được bản sao của các tài liệu hội nghị được chép vào CD-ROM, thực chất đã được Equation sử dụng để cài DoubleFantasy vào máy của mục tiêu. Phương pháp chính xác để ngăn chặn các đĩa CD này hiện nay vẫn chưa được làm rõ.

Những người bạn nổi tiếng: Stuxnet và Flame

Có liên kết vững chắc cho thấy rằng nhóm Equation đã tương tác mạnh mẽ với các nhóm khác chẳng hạn như việc khai thác Stuxnet và Flame. Nhóm Equation có quyền truy cập vào zero-day trước khi chúng được sử dụng bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác với với những người khác.

Ví dụ, trong năm 2008 sâu Fanny sử dụng hai lỗ hổng zero-day có liên quan đến Stuxnet vào tháng 6/2009 và tháng 3/2010 . Một trong những lỗ hổng zero-day trong Stuxnet đã thực sự là một mô-đun của Flame nhằm khai thác các lỗ hổng tương tự và được lấy trực tiếp từ các nền tảng Flame cũng như xây dựng thành Stuxnet. Nhóm Equation đã sử dụng một hệ thống máy C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. Các máy chủ được đặt tại nhiều quốc gia, trong đó có Mỹ, Anh, Ý, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Cộng hòa Séc. Kaspersky Lab hiện đang huyển hướng 24 trong số 300 máy chủ C&C đến các máy chủ để thu thập dữ liệu – một hoạt động được gọi là sinkholing.

Từ năm 2001, Equation Group đã thực hiện hàng ngàn việc lây nhiễm, hoặc có thể lên đến hàng chục ngàn nạn nhân ở hơn 30 quốc gia trên toàn thế giới, bao gồm các lĩnh vực : Chính phủ và các cơ quan ngoại giao, các viện viễn thông, hàng không vũ trụ, năng lượng, nghiên cứu hạt nhân, dầu khí, công nghệ nano, các nhà hoạt động quân sự và các học giả, phương tiện truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và các công ty phát triển công nghệ mã hóa.

Previous articleQualcomm công bố loạt công nghệ di động mới tại MWC 2015
Next articleThách thức để thay đổi

LEAVE A REPLY

Please enter your comment!
Please enter your name here