«Звезда Смерти» показалась над горизонтом: APT Equation

Исследователи «Лаборатории Касперского» выявили то, что можно назвать «матерью всех АРТ»: группу Equation уже окрестили «Звездой смерти» во вселенной APT. Отчет о группе Equation был представлен 15 февраля на Kaspersky

Исследователи «Лаборатории Касперского» выявили то, что можно назвать «матерью всех АРТ»: группу Equation уже окрестили «Звездой смерти» во вселенной APT. Отчет о группе Equation был представлен 15 февраля на Kaspersky Security Analyst Summit.

Что происходит?

Equation – это АРТ-кампания, которая, по-видимому, была активной в течение последних двух десятилетий. Некоторые использующиеся группой контрольные серверы, оказывается, были зарегистрированы еще в 1996 году, хотя, вероятно, главный командный сервер работает с августа 2001 года.


С 2001 года группа Equation заразила тысячи или, возможно, даже десятки тысяч жертв по всему миру в следующих секторах:

  • Правительственные и дипломатические учреждения
  • Телекоммуникации
  • Аэрокосмическая отрасль
  • Энергетика
  • Ядерные исследования
  • Нефтегазовая промышленность
  • Военно-промышленный комплекс
  • Нанотехнологии
  • Исламские активисты и религиозные деятели
  • Средства массовой информации
  • Транспортная инфраструктура
  • Финансовые учреждения
  • Компании-разработчики технологий шифрования

Группа Equation использует мощный арсенал «имплантатов» (по-видимому, так они называют свои трояны), из которых в настоящее время известны лишь некоторые.

Арсенал поразительный, но…

Пожалуй, самый мощный инструмент в арсенале группы Equation — таинственный модуль, известный под загадочным именем «nls_933w.dll». Он позволяет перепрограммировать прошивку жестких дисков более чем десяти разных марок, в том числе Seagate, Western Digital, Toshiba, Maxtor и IBM.

Это поразительное техническое достижение и яркий пример исключительных возможностей группы.

Червячок Fanny

Среди прочих осуществляемых Equation атак одна выделяется особо — червь Fanny, впервые выявленный и заблокированный системами «Лаборатории Касперского» в декабре 2008 года. Он использовал две уязвимости нулевого дня, которые на тот момент ещё не были известны.

Equation_1

Эти эксплойты использовал червь Stuxnet. И, наоборот, Fanny пользовался эксплойтом LNK и USB-устройствами Stuxnet. Для эскалации привилегий Fanny использовал уязвимость, устранённую бюллетенем MS09-025 от Microsoft, но она также была задействована в одной из ранних версий Stuxnet в 2009 году.

Для прояснения ситуации

Да, червь Fanny, впервые выявленный в 2008 году, использовал уязвимости нулевого дня за два года до Stuxnet, и до 2010 года они оставались неизвестными. Похоже, в Equation имели доступ к этим эксплойтам до группы Stuxnet.

«На протяжении многих лет они [Equation] взаимодействовали с другими мощными группами, такими как Stuxnet и Flame, и всегда с позиции превосходства, так как они имели доступ к эксплойтам раньше всех прочих», — заявили специалисты «Лаборатории Касперского».

«Лаборатория Касперского» в настоящее время публикует данные об APT Equation. Пока существует общий обзор группы и ее инструментов на Securelist, а также детальное исследование червя Fanny (англ.). Новости ещё последуют, так что оставайтесь на связи!

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.

Дом, умный дом

Скорее всего, уже сейчас в вашей квартире найдется несколько компонентов «умного» дома. Как извлечь из них максимум пользы и сделать по-настоящему умными?