Grzegor Brzęczyszczykiewicz è uno scienziato luminare nel suo campo e partecipare ad eventi internazionali che coinvolgono la comunità scientifica fa parte della sua routine. Nel 2009 Grzegor si prepara per affrontare un viaggio verso Houston, dove prenderà parte ad un'importante conferenza. Qui prende contatti con altri suoi pari, con i quali discute di problemi scientifici di alto livello comprensibili solo a loro e ad una manciata di pochi altri individui della levatura di Sheldon Cooper.
Grzegor trascorre qualche giorno piacevole in compagnia dei colleghi cervelloni e quando la conferenza chiude i battenti, egli torna a casa con molti bei ricordi. Qualche tempo più tardi, usanza abbastanza comune per questi eventi, gli organizzatori inviano ai partecipanti un supporto multimediale con numerose fotografie e materiali della conferenza. Grzegor inserisce il supporto nel proprio sistema e inizia a prendere visione dei materiali, non sospettando minimamente di essere stato vittima della forse più potente organizzazione di cyber-spionaggio al mondo, che ha infettato il suo sistema usando tre exploit, due di essi di tipo zero-day.
Se l'impronunciabile nome di Grzegor Brzęczyszczykiewicz è chiaramente uno pseudonimo, tutt'altro che inventata è la vicenda appena narrata. Grzegor è stato vittima di Equation Group, uno dei più avanzati ed ingegnosi gruppi di cyber-spie coinvolto in numerose azioni di spionaggio fin almeno dal 2001 - sebbene alcuni elementi farebbero risalire il loro operato addirittura al 1996.
Sono stati necessari diversi anni perché i ricercatori del Global Research and Analysis Team (GReAT) di Kaspersky Lab potessero mettere insieme i pezzi che descrivono uno scenario tra i più inquietanti dell'epoca digitale. Equation Group è una denominazione ideata dalla stessa Kaspersky, per via della particolare predilezione di questo gruppo ad usare algoritmi di cifratura e strategie di offuscamento complessi e particolarmente efficaci.
L'Equation Group fa uso di varie piattaforme malware, alcune delle quali sorpassano per complessità e sofisticazione il ben conosciuto "Regin". Kaspersky Lab ne ha contate almeno sette, tutte usate in modo esclusivo da Equation Group: Equationdrug, Doublefantasy, Equestre, Triplefantasy, Grayfish, Fanny ed Equationlaser. In linea di massima il modus operandi di Equation Group ricalca sempre lo stesso schema: la vittima viene infettata mediante metodi tradizionali (pagine web create ad-hoc, email fasulle, phising o raggiri "real-life" come quello accaduto al nostro amico Grzegor) con Doublefantasy o Triplefantasy, Trojan che hanno lo scopo di verificare se il bersaglio sia quello voluto e/o sia di effettivo interesse. In caso di responso positivo viene recapitato automaticamente Equationdrug talvolta in congiunzione con Grayfish che in linea di massima permettono di prendere controllo da remoto del sistema bersaglio.
Di particolare interesse è Fanny, un worm creato nel 2008 e usato per raccogliere informazioni su bersagli dislocati in Medio Oriente e in Asia ed il cui scopo principale è di mappare le reti isolate. L'aspetto interessante di Fanny è che si basa sullo sfruttamento di due vulnerabilità zero-day che sono poi state sfruttate dal famigerato Stuxnet e scoperte proprio con esso. Altri strumenti particolarmente sofisticati nelle mani dell'Equation Group sono due moduli, contenuti in Equationdrug e in Grayfish, che permettono di riprogrammare il firmware di un hard disk con una versione proprietaria e di fornire API per un insieme di settori nascosti del disco.
La possibilità di riprogrammare il firmware di un hard disk ha ovviamente dei risvolti particolarmente seri. Anzitutto un estremo livello di persistenza della minaccia che le consente di "sopravvivere" alla formattazione e alla reinstallazione del sistema operativo. Costin Raiu, responsabile del GReAT di Kaspersky, spiega: "Una volta che l'hard disk viene infettato in questa maniera, è impossibile fare una scansione del firmware. In parole semplici: per la maggior parte degli hard drive esistono funzioni per scrivere nell'hardware che contiene il firmware, ma non vi sono funzioni perché da lì si possa leggere. Significa che siamo praticamente ciechi e non possiamo determinare quali hard disk possano o meno essere infettati da questo malware". Un'altra conseguenza è la possibilità di creare un'area invisibile all'interno del disco che può essere usata per salvare informazioni che possono essere recuperate dagli attaccanti. Raiu osserva che questo, in alcuni casi, potrebbe permette di violare un hard disk criptato: "Considerando che Grayfish è attivo fin dal boot del sistema, diventa possibile catturare la password di cifratura e salvarla in quest'area nascosta".
Dall'analisi di Kaspersky emerge come praticamente tutti i brand siano toccati: Seagate, Western Digital, Samsung, Micron, OCZ, Corsair, Toshiba. Secondo Kaspersky, però, la tecnica è stata usata solamente in rare occasioni e poche sono le vittime bersagliate da questi moduli, il che può far supporre che il suo impiego sia limitato solo per vittime particolarmente interessanti o per circostanze inusuali.
Le vittime di Equation Group sono state riscontrate in oltre 30 paesi: Iran, Russia, Siria, Afghanistan, Kazakistan, Belgio, Somalia, Hong Kong, Libia, Emirati Arabi Uniti, Iraq, Nigeria, Ecuador, Messico, Malesia, USA, Sudan, Libano, Palestina, Francia, Germania, Singapore, Qatar, Pakistan, Yemen, Mali, Svizzera, Bangladesh, Sud Africa, Filippine, Regno Unito, India e Brasile. Altrettanto variegata è l'estrazione di queste vittime per settore: enti governativi, istituzioni diplomatiche, società di telecomunicazioni, aziende aerospaziali, società energetiche, enti di ricerca nucleare, aziende petrolifere, realtà militari, attivisti islamici, studenti, mass media, società di trasporti, istituti finanziari e compagnie impegnate nello sviluppo di tecnologie di cifratura.
Incrociando una serie di dati, Kaspersky ha contato oltre 500 vittime sparse in tutto il mondo. La maggior parte delle compromissioni è stata riscontrata su server, siano essi di controllo di dominio, di stoccaggio dati o di hosting di siti web. E' però opportuno osservare che queste compromissioni sono caratterizzate da una sorta di meccanismo di "autodistruzione", il che può suggerire che durante il periodo di attività di Equation Group il computo delle vittime possa risalire a qualche decina di migliaia.
Equation Group fa inoltre uso di una vasta infrastruttura di C&C (Command & Control) che include più di 300 domini ed oltre 100 server, questi ospitati in vari Paesi tra i quali USA, Regno Unito, Italia, Germania, Paesi Bassi, Panama, Costa Rica, Malesia, Colombia e Repubblica Ceca.
Anda sedang membaca artikel tentang
Equation Group, i fuoriclasse del malware. Con l'ombra dell'NSA
Dengan url
http://sehatbrokoli.blogspot.com/2015/02/equation-group-i-fuoriclasse-del.html
Anda boleh menyebar luaskannya atau mengcopy paste-nya
Equation Group, i fuoriclasse del malware. Con l'ombra dell'NSA
namun jangan lupa untuk meletakkan link
Equation Group, i fuoriclasse del malware. Con l'ombra dell'NSA
sebagai sumbernya
0 komentar:
Posting Komentar