Ryska säkerhetsföretaget Kaspersky avslöjar nu intima detaljer om en av de kanske största digitala spioonhärvorna någonsin. Hackergruppen The Equation Group pekas ut som allsmäktiga hackers arbetandes inom amerikanska säkerhetstjänsten NSA och har under 14 år övervakat regeringar och länder genom att infiltrera hårddiskar från WD, Toshiba och Seagate.

The Equation Group är enligt Kasperskys säkerhetsexperter den mest sofistikerade och potenta hackergruppen i världen. Man konstaterar att Equation Group är ”de med de coolaste leksakerna” och att hackergruppen stundtals delat med sig av sina verktyg till andra omtalade hackergruppet som legat bakom Stuxnet och Flame.

”It seems to me Equation Group are the ones with the coolest toys. Every now and then they share them with the Stuxnet group and the Flame group, but they are originally available only to the Equation Group people. Equation Group are definitely the masters, and they are giving the others, maybe, bread crumbs. From time to time they are giving them some goodies to integrate into Stuxnet and Flame.” säger Costin Rau, chef för Kasperskys forsknings och analysgrupp till Ars Technica.

Equationgroup2

Hackergruppen ska enligt Kasperskys undersökningar använt sig av flera avancerade tekniker och skadlig mjukvara för att spionera och samla in information från sina mål. Ett 40-tal länder pekas ut som måltavlor för Equation groups attacker och högst upp på listan hittar vi Iran, Ryssland, Pakistan och Afganistan. Gruppen har enligt rapporten från Kaspersky använt sig av extremt avancerade metoder för att samla på sig värdefull data från regeringsanställda, banker, militäranläggningar, teleoperatörer och andra sammhälls kritiska instanser.

Death Star – ”Den perfekta bakdörren”

En av de mer uppseende väckande metoderna som använts har involverat bakdörrar i hårddiskar som sålts till utländska regeringar och organisationer. Projeketet som Kaspersky valt att kalla Death Star omfattar bakdörrar som implementerats inte bara i specifika hårddiskar utan fungerat på flera olika modeller från olika hårddisktillverkare ska enligt Kaspersky vara närmast perfekt i sin design. Med bakdörren implementerad i hårddiskarnas firmware har datorer kunnat infekterats om och om igen, varje gång maskinen startats om.

Greyfish

Genom att bearbeta firmwarekällkoden för hårddiskar från WD och Seagate har Equation Group lyckas skapa dolda datavalv i hårddiskarna som inte ens militärklassade rensningsverktyg kunnat upptäcka och på detta sätt har gruppen under nästan två decennium kunnat samla på sig hemlig information i olika former.

Både Seagate och WD har förnekat att man gett ut sin källkod till NSA eller andra regeringsanknutna organisationer. Samtidigt hävdar källor inom NSA att man utan större problem kan få tag på källkoden för hårddiskar genom att utge sig för att vara mjukvaruutvecklare eller för den delen förklara att koden krävs för interna installationer inom regeringen.

Mest uppsendeväckande är trots allt att uppgifterna tyder på att Equation Group lyckats få in sin bakdörr i hårddiskar som skeppats från tillverkningsfabriker. Vilket sammantaget stärker misstanken mot en regeringsfinansierad hackergrupp med närmast oändliga resurser och tekniska verktyg.

Hackergruppen använde enligt Kaspersky flera olika verktyg och metoder för att infiltrera och spionera på sina mål. Bland annat ska man redan 2009 upptäckt malware med anknytningar till gruppen på CD-skivor skickades till en rysk forskare som deltagit vid en forskningsmässa i USA. Totalt har Kaspersky identiferat inte mindre än sju olika avancerade trojaner som utvecklats av hackergruppen.

  • EQUATIONDRUG – A very complex attack platform used by the group on its victims. It supports a module plugin system, which can be dynamically uploaded and unloaded by the attackers.
  • DOUBLEFANTASY – A validator-style Trojan, designed to confirm the target is the intended one. If the target is confirmed, they get upgraded to a moresophisticated platform such as EQUATIONDRUG or GRAYFISH.
  • EQUESTRE – Same as EQUATIONDRUG.
  • TRIPLEFANTASY – Full-featured backdoor sometimes used in tandem with GRAYFISH. Looks like an upgrade of DOUBLEFANTASY, and is possibly a more recent validator-style plugin.
  • GRAYFISH – The most sophisticated attack platform from the EQUATION Group. It resides completely in the registry, relying on a bootkit to gain execution at OS startup.
  • FANNY – A computer worm created in 2008 and used to gather information about targets in the Middle East and Asia. Some victims appear to have been upgraded first to DoubleFantasy, and then to the EQUATIONDRUG system. 
    Fanny used exploits for two zero-day vulnerabilities which were later discovered with Stuxnet.
  • EQUATIONLASER – An early implant from the EQUATION group, used around2001-2004. Compatible with Windows 95/98, and created sometime between DOUBLEFANTASY and EQUATIONDRUG.

Equation Group ska även spridit sin malwaremjukvara över jihadistnätverk samt utvecklat en mask kallad Fanny som användes för att infiltrera datorer genom infekterade USB-minnen. En mask som användes för att automatiskt hämta känslig information från datorsystem så känsliga att de inte varit uppkopplade mot Internet.

Fanny

Arbetat utan upptäckt i över 14 år

Enligt Kaspersky ska de första spåren av Equation Groups arbete ledas tillbaka till år 2001 men kan ha fortlöpt längre än så. Det faktum att man inte lyckats identifiera gruppen och dess olika metoder förrän i mars 2014 indikerar att detta kan vara den mest omfattande spionhärva som avslöjats.

timeline_4_1024

Medan Kaspersky själva inte pekat ut något specifikt land som legat bakom Equation Groups arbete bekräftar källor inom NSA rykten om att den amerikanska underättelsetjänsten är ansvariga för utvecklingen av tekniken att gömma spyware i hårddiskar. NSA själva har svarat på anklagelserna genom ett officiellt uttalande till teknikbloggen Ars Technica.

”We are aware of the recently released report. We are not going to comment publicly on any allegations that the report raises, or discuss any details. On January 17, 2014, the President gave a detailed address about our signals intelligence activities, and he also issued Presidential Policy Directive 28 (PPD-28). As we have affirmed publicly many times, we continue to abide by the commitments made in the President’s speech and PPD-28. The U.S. Government calls on our intelligence agencies to protect the United States, its citizens, and its allies from a wide array of serious threats – including terrorist plots from al-Qaeda, ISIL, and others; the proliferation of weapons of mass destruction; foreign aggression against ourselves and our allies; and international criminal organizations.” skriver NSA till Ars Technica.

Genom Kasperskys detaljerade rapport finns det nu betydligt bättre möjligheter för regeringar och företag att se över sina rutiner och systeminstallationer för att rensa bort eventuell skadlig mjukvara. Samtidigt får vi ännu ett kvitto på att cyberkrigen inte bara är något för Hollywood-filmer utan i högsta grad är en del av dagens digitala verklighet.

Källa: Kaspersky, Ars Technica, Reuters

Relaterade artiklar:

5
Leave a Reply

Please Login to comment
5 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
5 Comment authors
pa1983S0urcerr0Rswege-Tjalve-Zhu Recent comment authors
  Subscribe  
senaste äldsta flest röster
Notifiera vid
Zhu
Gäst
Zhu

Skulle inte förvåna mig om NSA själva var bakom gruppen. Läste någonstans att 30% av alla hackers i USA är informatörer åt FBI. Många av de mindre skickliga grupperna gick under på det sättet.

Sen att detta plötsligt kommer ut nu är inte heller en slump. Killen på Kasparsky låter som en kåt tonårsflicka:

”It seems to me Equation Group are the ones with the coolest toys. [..]
Equation Group are definitely the masters”

Sug mer, pojk.

De mest skickliga tjuvarna blir aldrig upptäckta. Så vem som egentligen är ”the masters” är nu knappast denna grupp. De kommer forsätta vara osedda tills vidare.

-Tjalve-
Gäst
-Tjalve-

[quote name=”Zhu”]Skulle inte förvåna mig om NSA själva var bakom gruppen. Läste någonstans att 30% av alla hackers i USA är informatörer åt FBI. Många av de mindre skickliga grupperna gick under på det sättet. Sen att detta plötsligt kommer ut nu är inte heller en slump. Killen på Kasparsky låter som en kåt tonårsflicka: ”It seems to me Equation Group are the ones with the coolest toys. [..]Equation Group are definitely the masters” Sug mer, pojk. De mest skickliga tjuvarna blir aldrig upptäckta. Så vem som egentligen är ”the masters” är nu knappast denna grupp. De kommer forsätta vara… Läs hela »

swege
Gäst
swege

Varför är man inte förvånad :zzz

S0urcerr0R
Medlem
S0urcerr0R

Antagligen den mest spännande nyhet jag läst senaste året.Det är naturligt att hackers vill supporta sitt hemland. Om jag hade såna där kunskaper och kom över sverigefientlig info så skulle jag direkt meddela svenska säkerhetstjänsten. Med ett så starkt team av hackers hoppas jag verkligen att informationen bara används för ädla ändamål. Blir dock sugen på att programmera mitt egna OS när jag läser detta, då får vi se hur mycket skada/övervakning ett sånt där USB-minne kan göra när man tex blockerar alla bakvägar ”USB-minnena” använder för härskartekniker (tex HID-funktionalitet ..men då försöker dom väl hacka mitt PS2 tgb istället,… Läs hela »

pa1983
Medlem
pa1983

Verkar inte krävas en arme av hackers för att göra det som beskrivs i artikeln.Jag läste denna artikeln för ett par år sedan.http://spritesmods.com/?art=hddhack&page=1 En en person utveckla ett verktyg för att i slutändan flasha om en vanlig HDD så att när den läser en vis bit data, tex en fil med lösenord och när detta sker ändrar den lösenordet till något hackern bestämt i stället så är det knappast svårt att tro att NSA kunnat göra detta i många år.I stort sett vad firmwaren gjorde efter hacket var att aktivt leta efter data som matchade en sökterm. När den biten… Läs hela »