Kaspersky descubre al ancestro de Stuxnet y Flame: Equation Group
Durante varios años, el Equipo de Análisis e Investigación Global de [b]Kaspersky Lab[/b] ha estado vigilando a más de 60 actores de amenazas avanzadas responsables de ciberataques en todo el mundo. El equipo ha visto casi todo, incluyendo ataques que son cada vez más complejos conforme más estados nación se han involucrado y tratado de armar con las herramientas más avanzadas. Sin embargo, hasta ahora los expertos de Kaspersky Lab pueden confirmar que han descubierto a un actor de amenaza que supera todo lo conocido en función de complejidad y sofisticación de técnicas, y que ha estado activo por casi dos décadas – El Grupo Equation. Según los investigadores de Kaspersky Lab, el grupo es extraordinario en casi cada aspecto de sus actividades: utilizan herramientas que son muy complicadas y de desarrollo de alto costo para infectar a víctimas, recuperar datos y ocultar actividad de una manera extraordinariamente profesional, y utilizan técnicas clásicas de espionaje para introducir cargas maliciosas en las víctimas. Para infectar a sus víctimas, el grupo utiliza un arsenal poderoso de “implantes” (Troyanos) incluyendo los siguientes que han sido bautizados por Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish. Sin duda habrá otros “implantes” en existencia. ¿QUÉ HACE EXTRAORDINARIO AL GRUPO EQUATION? Persistencia e invisibilidad máximas El Equipo Global de Investigación y Análisis de Kaspersky Lab ha podido recuperar dos módulos que permiten la reprogramación del firmware del disco duro de más de una docena de marcas populares de este tipo de hardware. Esta quizá sea la herramienta más poderosa del arsenal del Grupo Equation y el primer malware conocido capaz de infectar los discos duros. Al reprogramar el firmware del disco duro (es decir, reescribir el sistema operativo del disco duro), el grupo logra dos propósitos:
[ol]
[li]Un nivel extremo de persistencia que ayuda a sobrevivir el formateado del disco y la reinstalación del sistema operativo. Si el malware entra al firmware, está disponible para “revivir” para siempre. Puede prevenir que se borre un cierto sector del disco o sustituirlo con uno malicioso durante el proceso de arranque del sistema.
[/li][/ol]
“Otra cosa peligrosa es que una vez que el disco duro se infecta con esta carga maliciosa, es imposible analizar su firmware. Para explicarlo de manera más simple: para la mayoría de los discos duros hay funciones para escribir en el área del firmware del hardware, pero no hay funciones para leerlo de nuevo. Significa que estamos prácticamente ciegos, y no podemos detectar discos duros que han sido infectados por este malware” ” – advierte Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab.
[ol]
[li]La capacidad de crear un área persistente invisible oculta dentro del disco duro. Se usa para guardar información extraída que los atacantes pueden recuperar más tarde. Asimismo, en algunos casos puede ayudar al grupo a entreabrir el cifrado: “Tomando en cuenta el hecho que su implante GrayFish está activo desde el arranque del sistema, tienen la posibilidad de captar la contraseña del cifrado y guardarla en su área oculta,” explica Costin Raiu.
[/li][/ol]
Capacidad para recuperar datos de redes aisladas El gusano Fanny se destaca de todos los ataques realizados por el grupo Equation. Su principal propósito fue mapear redes aisladas protegidas, en otras palabras – comprender la topología de una red inaccesible, y ejecutar comandos para esos sistemas aislados. Para esto, utilizó un comando y mecanismo de control basado en USB el cual permitió a los atacantes llevar y traer datos de redes aisladas protegidas. En particular, una memoria USB infectada con un área de almacenamiento oculta se utilizó para reunir información básica de una computadora no conectada a Internet y para enviarla a la dirección de Comando y Control cuando dicha memoria USB fuera conectada en alguna computadora infectada por Fanny y que tuviera conexión a Internet. Si los atacantes querían ejecutar comandos en las redes aisladas protegidas, podían guardar estos comandos en el área oculta de la memoria USB. Cuando la memoria USB se insertó en la computadora aislada protegida, Fanny reconoció los comandos y los ejecutó. Métodos clásicos de espionaje para introducir malware Los atacantes utilizaron métodos universales para infectar objetivos: no sólo a través de la web, sino también mediante mecanismos físicos. Para ello utilizaron una técnica de interceptar – interceptando bienes físicos y reemplazándolos con versiones infectadas con Troyanos. Un ejemplo es el de participantes seleccionados en una conferencia científica en Houston: al regresar en casa, algunos de los participantes recibieron una copia de los materiales de la conferencia en un CD-ROM el cual se utilizó para instalar el implante DoubleFantasy del grupo en la máquina del objetivo. El método exacto por el cual estos CDs fueron interceptados se desconoce. AMIGOS DE MALA REPUTACIÓN: STUXNET Y FLAME Hay lazos sólidos que indican que el Grupo Equation ha interactuado con otros grupos poderosos, como con los operadores de Stuxnet y Flame – generalmente desde una posición de superioridad. El Grupo Equation tuvo acceso a días cero antes de que éstos fueran utilizados por Stuxnet y Flame, y en algún punto compartieron exploits con otros. Por ejemplo, en 2008 Fanny utilizó dos días cero que fueron introducidos con Stuxnet en junio de 2009 y marzo de 2010. Uno de esos días cero en Stuxnet fue en realidad un módulo de Flame que aprovecha la misma vulnerabilidad y el cual se tomó directamente de la plataforma Flame y se incorporó a Stuxnet. El Grupo Equation utiliza una vasta infraestructura de Comando y Control que incluye más de 300 dominios y más de 100 servidores. Los servidores están alojados en múltiples países, incluyendo los Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia y la República Checa. Kaspersky Lab está actualmente usurpando el control de un par de docenas de estos 300 servidores de Comando y Control. Sesde el año 2001, el Grupo Equation ha estado ocupado infectando miles, o quizá incluso decenas de miles de víctimas en más de 30 países de todo el mundo, cubriendo los sectores siguientes: Instituciones diplomáticas y gubernamentales, Telecomunicaciones, Aeroespaciales, de Energía, investigación Nuclear, Gas y Petroleras, Militares, de Nanotecnología, activistas Islámicos, medios masivos de comunicación, de Transporte, instituciones Financieras y compañías de desarrollo de tecnologías de cifrado. DETECCIÓN Kaspersky Lab observó siete exploits utilizados por el Grupo Equation en su malware. Por lo menos cuatro de éstos fueron utilizados como días cero. Además de esto, se observó el uso de exploits desconocidos, posiblemente de día cero, contra Firefox 17, como se utilizó en el navegador Tor. Durante la etapa de infección, el grupo tiene la capacidad de utilizar diez exploits en una cadena. Sin embargo, los expertos de Kaspersky Lab observaron que no más de tres se utilizan: si el primero no tiene éxito, entonces intentan con otro, y luego con el tercero. Si fallan los tres exploits, no infectan el sistema. Los productos de Kaspersky Lab detectan muchas tentativas para atacar a sus usuarios. Muchos de estos ataques no tuvieron éxito gracias a la tecnología de Prevención Automática de Exploit que detecta de manera genérica y bloquea la utilización de vulnerabilidades desconocidas. El gusano Fanny, se presume que fue compilado en julio de 2008, se detectó por primera vez y se incluyó en la lista negra mediante nuestros sistemas automáticos en diciembre de 2008.
SAN FRANCISCO — The United States has found a way to permanently embed surveillance and sabotage tools in computers and networks it has targeted in Iran, Russia, Pakistan, China, Afghanistan and other countries closely watched by American intelligence agencies, according to a Russian cybersecurity firm.
In a presentation of its findings at a conference in Mexico on Monday, Kaspersky Lab, the Russian firm, said that the implants had been placed by what it called the “Equation Group,” which appears to be a veiled reference to the National Security Agency and its military counterpart, United States Cyber Command.
It linked the techniques to those used in Stuxnet, the computer worm that disabled about 1,000 centrifuges in Iran’s nuclear enrichment program. It was later revealed that Stuxnet was part of a program code-named Olympic Games and run jointly by Israel and the United States.
Kaspersky’s report said that Olympic Games had similarities to a much broader effort to infect computers well beyond those in Iran. It detected particularly high infection rates in computers in Iran, Pakistan and Russia, three countries whose nuclear programs the United States routinely monitors.
Some of the implants burrow so deep into the computer systems, Kaspersky said, that they infect the “firmware,” the embedded software that preps the computer’s hardware before the operating system starts. It is beyond the reach of existing antivirus products and most security controls, Kaspersky reported, making it virtually impossible to wipe out.
In many cases, it also allows the American intelligence agencies to grab the encryption keys off a machine, unnoticed, and unlock scrambled contents. Moreover, many of the tools are designed to run on computers that are disconnected from the Internet, which was the case in the computers controlling Iran’s nuclear enrichment plants.
Kaspersky noted that of the more than 60 attack groups it was tracking in cyberspace, the so-called Equation Group “surpasses anything known in terms of complexity and sophistication of techniques, and that has been active for almost two decades.”
Kaspersky Lab was founded by Eugene Kaspersky, who studied cryptography at a high school co-sponsored by the K.G.B. and once worked for the Russian military. Its studies, including one describing a cyberattack of more than 100 banks and other financial institutions in 30 countries, are considered credible by Western experts.
The fact that security software made by Kaspersky Lab is not used by many American government agencies has made it more trusted by other governments, like those of Iran and Russia, whose systems are closely watched by United States intelligence agencies. That gives Kaspersky a front-row seat to America’s digital espionage operations.
The firm’s researchers say that what makes these attacks particularly remarkable is their way of attacking the actual firmware of the computers. Only in rare cases are cybercriminals able to get into the actual guts of a machine.
Recovering from a cyberattack typically involves wiping the computer’s operating system and reinstalling software, or replacing a computer’s hard drive. But if the firmware becomes infected, security experts say, it can turn even the most sophisticated computer into a useless piece of metal.
In the past, security experts have warned about “the race to the bare metal” of a machine. As security around software has increased, criminals have looked for ways to infect the actual hardware of the machine. Firmware is about the closest to the bare metal you can get — a coveted position that allows the attacker not only to hide from antivirus products but also to reinfect a machine even if its hard drive is wiped.
“If the malware gets into the firmware, it is able to resurrect itself forever,” Costin Raiu, a Kaspersky threat researcher, said in the report. “It means that we are practically blind and cannot detect hard drives that have been infected with this malware.”
The possibility of such an attack is one that math researchers at the National Institute of Standards and Technology, a branch of the Commerce Department, have long cautioned about but have very rarely seen. In an interview last year, Andrew Regenscheid, a math researcher at the institute, warned that such attacks were extremely powerful. If the firmware becomes corrupted, Mr. Regenscheid said, “your computer won’t boot up and you can’t use it. You have to replace the computer to recover from that attack.”
That kind of attack also makes for a powerful encryption-cracking tool, Mr. Raiu noted, because it gives attackers the ability to capture a machine’s encryption password, store it in “an invisible area inside the computer’s hard drive” and unscramble a machine’s contents.
Kaspersky’s report also detailed the group’s efforts to map out so-called air-gapped systems that are not connected to the Internet, including Iran’s nuclear enrichment facilities, and infect them using a USB stick. To get those devices onto the machines, the report said, the attackers have in some cases intercepted them in transit.
Documents revealed by the former National Security Agency contractor Edward J. Snowden detailed the agency’s plans to leap the “air gaps” that separate computers from the outside world, including efforts to install specialized hardware on computers being shipped to a target country. That hardware can then receive low-frequency radio waves broadcast from a suitcase-size device that the N.S.A. has deployed around the world. At other times the air gaps have been leapt by having a spy physically install a USB stick to infect the adversary’s computer.
Basing its estimate on the time stamps in code, the Kaspersky presentation said the Equation Group had been infecting computers since 2001, but aggressively began ramping up their capabilities in 2008, the year that President Obama was elected, and began doubling down on digital tools to spy on adversaries of America.
While the United States has never acknowledged conducting any offensive cyberoperations, President Obama discussed the issue in general in an interview on Friday with Re/code, an online computer industry publication, describing offensive cyberweapons as being unlike traditional weapons.
“This is more like basketball than football, in the sense that there’s no clear line between offense and defense,” said Mr. Obama, himself a basketball player. “Things are going back and forth all the time.”
Kaspersky Lab revela a RT cómo fue posible el mayor robo bancario del siglo
La exorbitante suma de 1.000.000.000 dólares ha sido sustraída gracias a un masivo ataque informático a un centenar de instituciones financieras repartidas en treinta países, según revela la firma de seguridad Kaspersky Lab.
“El daño global puede valorarse en un mil millones de dólares”, anunció a RT el experto de Kapersky Lab Serguéi Lozhkin.
Aunque la mayoría de los 100 bancos atacados se encuentra en Rusia, algunas de las instituciones financieras agredidas pertenecen a Japón, los Países Bajos, Suiza y EE.UU.
“Cada una de las instituciones [atacadas] podría haber perdido unos 10 millones de dólares”, admitió.
Entre los diversos medios empleados para penetrar en los sistemas informáticos de los bancos los autores del crimen utilizaron correos electrónicos falsos de auténticas instituciones financieras, incluido el Banco Central de Rusia y aplicaciones de Microsoft Word.
Posteriormente, varios medios sofisticados permitieron a los ‘hackers’ entender cómo trabajan los empleados de las entidades financieras con los programas internos de la misma para después pasar datos de un ordenador a otro y, finalmente, obtener pleno acceso a todo el sistema de un banco.
“Al tener la víctima que recibía la carta, un empleado del banco, un viejo programa, la vulnerabilidad de tal sistema permitía al virus infectar la computadora”, explicó.
“Posteriormente, se efectuaban de forma remota transferencias bancarias a cajeros automáticos para que determinadas personas llegasen a estos cajeros a recoger el dinero en efectivo”, explicó el experto.
Los nombres de los bancos afectados no han sido aún revelados.
El plan empleado para el robo fue desvelado al detectarse que en varias entidades financieras ucranianas se registraron operaciones de retirada de dinero sin que efectivamente las cámaras de seguridad grabaran a individuos sacando el efectivo de los cajeros.
Para aclarar este misterio las entidades contrataron a Kaspersky Lab, que descubrió toda la trama del ataque. Esta sería posteriormente revelada para el público general por 'The New York Times’.
