Zeci de mii de victime din întreaga lume au căzut în plasa atacatorilor din Grupul Equation, activ încă din anul 2001. Modul de acţiune persista atât în mediul online, cât şi în lumea reală, în acest ultim caz prin intermediul CD-urilor pe care era implantat un "vierme" în computerul-ţintă.
 

Printre cei care au suferit pagube, prin pierderea de informaţii importante, s-au aflat oficiali din guverne, diplomaţi, oameni de ştiinţă, precum şi companii din domeniul cercetării nucleare.

Unicitatea Equation şi "implanturile de viermi"
 

La momentul publicării unui raport de către experţii Kaspersky (în anul 2015), Equation Group era activ de aproape două decenii. Deşi văzuseră multe până în acel moment, cercetătorii au constatat că grupul este unic în aproape toate aspectele activităţii sale. În acest sens, atacatorii foloseau unelte foarte complexe şi costisitoare, pentru a infecta victimele, a recupera date şi a ascunde activitatea într-un mod remarcabil de profesionist.

Astfel, pentru a-şi "infecta" victimele, grupul utiliza un arsenal puternic de "implanturi" botezaţi troieni, printre care: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny şi GrayFish. Denumirile acestor viruşi au fost date de către experţii Kaspersky, pe parcursul investigaţiei.

În urma analizelor, echipa GReAT (Global Research and Analysis Team) din cadrul Kaspersky a reuşit să recupereze două module care permit reprogramarea firmware-ului hard disk-ului a aproximativ o duzină de branduri HDD populare. "Acesta este probabil cel mai puternic instrument din arsenalul grupului Equation şi primul malware cunoscut care este capabil să infecteze hard disk-urile", notau specialiştii.

În viziunea acestora, prin reprogramarea firmware-ului unităţii de stocare (adică rescrierea sistemului de operare al unităţii), grupul urmărea două scopuri, primul fiind acela de a ajuta malware-ul să reziste formatării discului şi reinstalării sistemului de operare care rula pe computerul atacat.

"Dacă malware-ul intră în firmware, acesta poate reinfecta sistemul de operare nou instalat la nesfârşit. Poate împiedica ştergerea unei anumite porţiuni de disc sau o poate înlocui cu una infectată în timp ce sistemul porneşte. O unitate hard disk infectată devine imposibil de scanat, malware-ul fiind invizibil pentru soluţiile antivirus tradiţionale", explică experţii în securitate cibernetică.

Un al doilea scop ţintit de către cei din spatele Grupului Equation făcea referire la capacitatea de a crea o zonă invizibilă în interiorul hard disk-ului, folosită pentru a salva informaţii sustrase, care puteau fi accesate, apoi, de către atacatori.

Equation şi colaborările cu Stuxnet sau Flame
 

În cadrul portofoliului de instrumente pe care le introducea în dispozitivele utilizatorilor, programul de tip "vierme" Fanny era diferit faţă de celelalte atacuri efectuate de grupul Equation. În acest sens, scopul său principal a fost acela de a crea o hartă a reţelelor unde nu pot ajunge şi de a executa comenzi pentru aceste sisteme izolate. Pentru aceasta, a folosit un mecanism unic de comandă şi control bazat pe USB, care a permis atacatorilor să schimbe date prin intermediul acestor reţele.

"Atacatorii nu au folosit doar mediul online pentru a-şi infecta victimele, ci şi lumea reală - la o conferinţă ştiinţifică de la Houston, la întoarcerea acasă, unii dintre participanţi au primit o copie a materialelor conferinţei pe un CD-ROM care a fost apoi folosit pentru instalarea implantului DoubleFantasy în calculatorul-ţintă. Există dovezi conform cărora grupul Equation a interacţionat cu alte grupuri, Stuxnet şi Flame", menţionează cercetătorii.

Conform celor de la Kaspersky, Grupul Equation a avut acces la vulnerabilităţi de tip "Zero-day" înainte de a fi utilizate de Stuxnet şi Flame. Este cert faptul că, în anul 2008, Fanny a folosit două vulnerabilităţi "Zero day" care au fost introduse în Stuxnet în iunie 2009 şi martie 2010.

Infrastructura Equation descoperită de către cercetători este vastă, incluzând peste 300 de domenii şi 100 de servere, găzduite în mai multe ţări, printre care: SUA, Marea Britanie, Italia, Germania, Olanda, Panama, Costa Rica, Malaezia, Columbia şi Cehia.

Din datele existente până în prezent, începând cu anul 2001, Equation a infectat zeci de mii de victime, din 30 de ţări din numeroase domenii: guverne şi instituţii diplomatice, telecomunicaţii, aerospaţial, energie, cercetare nucleară, petrol şi gaze, militar, nanotehnologie, activişti şi savanţi islamici, mass-media, transporturi, instituţii financiare şi companii care dezvoltă tehnologii de criptare.

Presupusa legătură cu National Security Agency
 

Numele Equation apare într-o serie de documente publicate în urmă cu doi ani de către un grup de hackeri intitulat "Shadow Brokers". Aceştia au dat publicităţii, în primăvara anului 2017, documente şi fişiere din care, potrivit experţilor în securitate electronică, rezultă că National Security Agency (NSA), una dintre principalele agenţii de securitate ale Statelor Unite ale Americii, ar fi accesat sistemul bancar global SWIFT, prin intermediul căruia a monitorizat tranzacţii bancare din întreaga lume, dar în special din Orientul Mijlociu şi America Latină.

Potrivit experţilor în securitate informatică, documentele publicate de "Shadow Brokers" demonstrează că NSA a găsit şi exploatat numeroase slăbiciuni din gama de produse Microsoft, folosite pe larg pe calculatoarele din întreaga lume, după cum relata AFP. Mai mult, s-a presupus că aceste documente provin de la o unitate de piraterie informatică ultrasecretă numită Equation Group din cadrul NSA.

Publicaţia Washingtin Post nota că "Shadow Brokers", pe care analiştii îi asociază cu guvernul rus, că SUA, prin intermediul NSA, ar fi obţinut informaţii de la SWIFT în afara acordului pe care îl au cu Uniunea Europeană (UE) în acest domeniu. Dezvăluiri anterioare făcute de către fostul contractor al NSA, Edward Snowden, sugerau deja că agenţia accesa date din SWIFT în afara acordului cu UE.

Cu trei ani în urmă, analiştii de la Kaspersky scriau într-un raport că un server aparţinând unui institut de cercetare din Orientul Mijlociu, cunoscut ca "Magnet of Threats", a găzduit şi malware pentru autori complecşi printre care şi Equation Group (vorbitori de limbă engleză). "De fapt, acest server a fost punctul de pornire în descoperirea Equation Group", notează sursa citată.

Vorbim, deci, despre un alt nivel de complexitate şi despre crearea de avantaje din partea infractorilor cibernetici în detrimentul utilizatorilor ale căror dispozitive s-au dovedit extrem de vulnerabile. Cu timpul, însă, avantajele dobândite au fost contracarate cu soluţii ingenioase produse de către companiile specializate în securitate informatică.

Equation Group a deschis "fereastra" spre alt tip de atac, prin utilizarea de metode care au implicat chiar şi dispozitive de stocare comercializate pe scară largă, precum CD-urile şi USB-urile. AGERPRES/(AS - autor: Daniel Badea, editor: Mariana Nica, editor online: Gabriela Badea)