Kaspersky Press release equationgroup OK

Anuncio
Equation Group: el rey del ciberespionaje
Madrid, 17 de febrero de 2015

Kaspersky Lab descubre el antepasado de Stuxnet y Flame – un actor poderoso de
amenaza con un dominio absoluto en términos de los ciberherramientas y técnicas

Esta amenaza supera todo lo conocido en complejidad y sofisticación de las técnicas
y ha estado activo durante casi dos décadas

Equation Group utiliza una extensa infraestructura C&C que incluye más de 300
dominios y más de 100 servidores. Los servidores están alojados en múltiples países,
incluyendo Estados Unidos, Reino Unido, Italia, Alemania, Holanda, Panamá, Costa
Rica, Malasia, Colombia y República Checa.
Durante varios años, el GREAT de Kaspersky Lab ha seguido de cerca más de 60 actores de
amenazas avanzadas responsables de ciberataques de todo el mundo. El equipo de analistas, que
ha visto ataques cada vez más complejos a medida que los Estados se involucraron y trataron de
armarse, confirman que han descubierto un actor de amenaza que supera todo lo conocido en
términos de complejidad y sofisticación técnicas y que ha estado activo durante casi dos décadas –
Equation Group.
Según los investigadores de Kaspersky Lab, es único en casi todos los aspectos de sus
actividades: utiliza herramientas que son muy complicadas y caras de desarrollar, con el fin de
infectar a las víctimas, recuperar datos y ocultar la actividad de una manera extraordinariamente
profesional y utiliza técnicas del espionaje clásico para entregar cargas maliciosas a las víctimas.
Para infectar a sus víctimas, Equation Group utiliza un potente arsenal de "implantes" (troyanos),
incluyendo los siguientes: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y
GrayFish..
¿Qué hace a Equation Group único?
Persistencia e invisibilidad: El GREAT ha sido capaz de recuperar dos módulos que permiten
una reprogramación del firmware del disco duro de más de una docena de marcas populares de
HDD. Esta es quizás la herramienta más poderosa de Equation Group y el primer malware
conocido capaz de infectar a los discos duros.
Reprogramando el firmware del disco duro (es decir, volver a escribir el sistema operativo del disco
duro), el grupo logra dos propósitos:
1. Un nivel de persistencia extremo que ayuda a sobrevivir al formateo del disco y a la
reinstalación del sistema operativo. Si el malware se mete en el firmware, ya está listo para
"resucitar" para siempre.
"Otra cosa peligrosa es que una vez que el disco duro se infecta con esta carga maliciosa es
imposible escanear su firmware. En pocas palabras: para la mayoría de los discos duros hay
funciones para escribir en el área de firmware del hardware, pero no hay funciones para leer de
nuevo. Significa que estamos prácticamente ciegos y no podemos detectar los discos duros que
han sido infectados por este malware"- advierte Costin Raiu, director del Equipo de Investigación y
Análisis Global de Kaspersky Lab.
2. La capacidad de crear una zona invisible, persistente, oculta dentro del disco duro. Se utiliza
para guardar información extraída que puede ser posteriormente recuperada por los
ciberatacantes. Además, en algunos casos puede ayudar al grupo cancelar el cifrado.
"Teniendo en cuenta el hecho de que su implante GrayFish está activo desde el arranque del
sistema, tienen la capacidad de capturar la contraseña de cifrado y guardarlo en esta oculta zona",
explica Costin Raiu.
Capacidad para recuperar datos de redes aisladas: El gusano Fanny destaca de entre todos los
ataques perpetrados por Equation Group. Su objetivo principal es mapear redes con “air gap”, es
decir, entender la topología de una red que no puede ser alcanzada y ejecutar comandos para esos
sistemas aislados. Para ello se utiliza un mecanismo de control y comando alojado en un USB que
permite a los atacantes intercambiar datos entre redes con “air gap”.
Concretamente, un USB infectado presenta una zona de almacenamiento oculta que se utiliza para
recoger información básica del sistema de un ordenador no conectado a Internet que se envía al
C&C cuando el dispositivo USB se conecta a un equipo infectado por Fanny con acceso a Internet.
Si los atacantes quieren ejecutar comandos en las redes “air gap” pueden hacerlo guardándolos
en la zona oculta del USB. Cuando este USB se introduce en un equipo “air gap”, Fanny reconoce
los comandos y los ejecuta.
Métodos clásicos de espionaje para propagar malware: Los ciberdelincuentes utilizaron
métodos universales para llegar a sus objetivos tanto a través de la web como en el mundo real.
Para ello, interceptaban objetos físicos y los reemplazaban por versiones infectadas; por ejemplo,
los participantes de una conferencia científica en Huston recibieron una copia del material del
evento en un CD-ROM que fue utilizado para instalar Double Fantasy en los equipos objetivo.
Amigos infames: Stuxnet y Flame
Hay vínculos que relacionan a Equation Group con otros grupos poderosos como los operadores
Stuxnet y Flame. Además, tenía acceso a zero-days antes de que fueran utilizados por Stuxnet y
Flame y en algún punto, han compartido exploits .
Por ejemplo, en 2008 Fanny utilizó dos zero-days que se introdujeron en Stuxnet en junio de 2009
y marzo de 2010. Uno de esos zero-days de Stuxnet era,de hecho, un modulo de Flame que
explota la misma vulnerabilidad y que fue extraído directamente de la plataforma de Flame para
introducirse en Stuxnet.
Infraestructura potente y geográficamente distribuida
Equation Group utiliza una extensa infraestructura C&C que incluye más de 300 dominios y más de
100 servidores. Los servidores están alojados en múltiples países, incluyendo Estados Unidos,
Reino Unido, Italia, Alemania, Holanda, Panamá, Costa Rica, Malasia, Colombia y República
Checa. Kaspersky Lab está actualmente ‘secuestrando’ un par de docenas de los 300 servidores
C&C.
Miles de víctimas de alto perfil en todo el mundo
Desde 2001, Equation Group ha infectado miles, o incluso, decenas de miles de víctimas en más
de 30 países en todo el mundo, de los siguientes sectores: instituciones gubernamentales y
diplomáticas, telecomunicaciones, aeroespacial, energía, investigación nuclear, petróleo y gas,
nanotecnología, activistas islámicos y escolares, medios de comunicación, transporte, instituciones
financieras y empresas que desarrollan tecnologías de cifrado.
Detección
Kaspersky Lab observó siete exploits que Equation Group usaba en su malware. Al menos, cuatro
de ellos fueron usados como zero-day. Además, se observó el uso de exploits desconocidos,
posiblemente zero-day, contra Firefox 17, tal como se usa en el navegador Tor.
Durante la fase de infección, el grupo tenía la habilidad de usar diez exploits en cadena. Sin
embargo, los expertos de Kaspersky Lab observaron que no usaban más de tres: si el primero no
tenía éxito, probaban con otro y luego con el tercero. Si los tres exploits fallaban, no infectaban el
sistema.
Los productos de Kaspersky detectaron un número de intentos de atacar a sus usuarios. Muchos
de estos ataques no tuvieron éxito debido a la tecnología de prevención automática de exploits,
que detecta y bloquea genéricamente la explotación de vulnerabilidades desconocidas. El gusano
Fanny, presumiblemente agrupado en julio de 2008, se detectó por primera vez y se integró en la
lista negra de nuestros sistemas automáticos en diciembre de 2008.
Para obtener más información sobre Equation group, por favor, lee el post disponible en
Securelist.com:https://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-fatherstuxnet/
Links de utilidad:
Sala de Prensa de Kaspersky Lab España
Sobre Kaspersky Lab
Kaspersky Lab es la mayor empresa privada de soluciones de seguridad endpoint del mundo. La compañía se incluye
entre los 4 mayores proveedores de soluciones de seguridad endpoint del mundo*. A lo largo de sus más de 15 años de
historia, Kaspersky Lab ha seguido innovando en seguridad TI y ofrece soluciones de seguridad eficaces para grandes
empresas, PYMES y consumidores. Actualmente, Kaspersky Lab opera en casi 200 países y territorios de todo el mundo,
ofreciendo protección a más de 300 millones de usuarios. Más información en www.kaspersky.es
La empresa se sitúa en la cuarta posición en el Ranking Mundial de Proveedores de Seguridad Endpoint (por ingresos) de IDC en 2011.
Esta clasificación se ha publicado en el informe de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares
(IDC #235930, July 2012)”. El informe clasifica los proveedores de software de acuerdo a los ingresos obtenidos en la venta de
soluciones de seguridad endpoint en 2011.
Síguenos en:
http://twitter.com/#!/KasperskyES
http://www.youtube.com/user/kasperskyespana
http://www.facebook.com/kasperskyes
http://blog.kaspersky.es/
Para más información, contactar con:
eVerythink PR
Virginia Frutos
Tel. +34 91 551 98 91
Mov: 670 502 902
Email: [email protected]
KasperskyLab Iberia
Vanessa González
Directora de Comunicación
Tel. +34 91 398 37 52
Email [email protected]
© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servic ios de
Kaspersky Lab quedan establecidos de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos
y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hac e
responsable de los errores técnicos o editoriales u omisiones presentes en el texto.
Descargar