«Звезда Смерти» показалась над горизонтом: APT Equation

Исследователи «Лаборатории Касперского» выявили то, что можно назвать «матерью всех АРТ»: группу Equation уже окрестили «Звездой смерти» во вселенной APT. Отчет о группе Equation был представлен 15 февраля на Kaspersky Security Analyst Summit.

Что происходит?

Equation – это АРТ-кампания, которая, по-видимому, была активной в течение последних двух десятилетий. Некоторые использующиеся группой контрольные серверы, оказывается, были зарегистрированы еще в 1996 году, хотя, вероятно, главный командный сервер работает с августа 2001 года.

Massive, Decades-Long Cyberespionage Framework Uncovered — http://t.co/GxpNfmktuf #TheSAS2015

— Threatpost (@threatpost) February 16, 2015

С 2001 года группа Equation заразила тысячи или, возможно, даже десятки тысяч жертв по всему миру в следующих секторах:

• Правительственные и дипломатические учреждения
• Телекоммуникации
• Аэрокосмическая отрасль
• Энергетика
• Ядерные исследования
• Нефтегазовая промышленность
• Военно-промышленный комплекс
• Нанотехнологии
• Исламские активисты и религиозные деятели
• Средства массовой информации
• Транспортная инфраструктура
• Финансовые учреждения
• Компании-разработчики технологий шифрования

Группа Equation использует мощный арсенал «имплантатов» (по-видимому, так они называют свои трояны), из которых в настоящее время известны лишь некоторые.

Арсенал поразительный, но…

Пожалуй, самый мощный инструмент в арсенале группы Equation — таинственный модуль, известный под загадочным именем «nls_933w.dll». Он позволяет перепрограммировать прошивку жестких дисков более чем десяти разных марок, в том числе Seagate, Western Digital, Toshiba, Maxtor и IBM.

Vendors affected by nls_933w.dll #EquationAPT #TheSAS2015 Format won't help! pic.twitter.com/X8zxWEzje6

— Dmitry Bestuzhev (@dimitribest) February 16, 2015

Это поразительное техническое достижение и яркий пример исключительных возможностей группы.

Червячок Fanny

Среди прочих осуществляемых Equation атак одна выделяется особо — червь Fanny, впервые выявленный и заблокированный системами «Лаборатории Касперского» в декабре 2008 года. Он использовал две уязвимости нулевого дня, которые на тот момент ещё не были известны.

Эти эксплойты использовал червь Stuxnet. И, наоборот, Fanny пользовался эксплойтом LNK и USB-устройствами Stuxnet. Для эскалации привилегий Fanny использовал уязвимость, устранённую бюллетенем MS09-025 от Microsoft, но она также была задействована в одной из ранних версий Stuxnet в 2009 году.

Для прояснения ситуации

Да, червь Fanny, впервые выявленный в 2008 году, использовал уязвимости нулевого дня за два года до Stuxnet, и до 2010 года они оставались неизвестными. Похоже, в Equation имели доступ к этим эксплойтам до группы Stuxnet.

«На протяжении многих лет они [Equation] взаимодействовали с другими мощными группами, такими как Stuxnet и Flame, и всегда с позиции превосходства, так как они имели доступ к эксплойтам раньше всех прочих», — заявили специалисты «Лаборатории Касперского».

«Лаборатория Касперского» в настоящее время публикует данные об APT Equation. Пока существует общий обзор группы и ее инструментов на Securelist, а также детальное исследование червя Fanny (англ.). Новости ещё последуют, так что оставайтесь на связи!