Equation: seit 2001 aktive APT-Gruppe aufgespürt

Die Experten von Kaspersky Lab informierten die Öffentlichkeit über die Entdeckung der Equation Group, deren Spuren sich bis in das Jahr 2001 zurückverfolgen lassen. Die Gruppe nutzt verschiedene schädliche Plattformen, die noch komplexer und raffinierter sind als selbst die berühmte Regin-Plattform. Ihren Namen erhielt die Gruppe aufgrund ihrer Leidenschaft für Obfuskation und Kryptografie: Sie benutzt die Algorithmen RC4, RC5, RC6 und AES, sowie einige andere kryptografische und Hash-Funktionen.

Den Forschern gelang es, eine große Familie von Schadplattformen zu identifizieren, die von Equation in unterschiedlichen Phasen ihrer Aktivität genutzt wurden. Eine der ungewöhnlichen Merkmale der Gruppe ist die Verwendung spezieller Plattform-Validatoren, Schädlinge, deren Funktionalität die eindeutige Identifizierung des Opfers ermöglicht. Weitere Angriffsstadien werden nur in dem Fall aktiviert, wenn der Validator bestätigt, dass es sich bei dem infizierten Computer um das vorgesehene Opfer handelt.

Die Haupt-Spionageplattform EquationDrug (interne Bezeichnung von Kaspersky Lab) wurde entwickelt, um die vollständige Kontrolle über das System des Opfers zu erlangen. Ihre Funktionalität kann mittels verschiedener Plugins erweitert werden – die Forscher konnten insgesamt 35 verschiedene Plugins für EquationDrug ausfindig machen sowie 18 Treiber.

Zu der Schädlingsfamilie Equation gehört auch der Computerwurm Fanny, der einen ungewöhnlichen Verbreitungsmechanismus mittels USB-Speichergerät verwendet und allem Anschein dazu dient, Informationen über Netze zusammenzutragen, die keinen Internetzugang haben und sich im Mittleren Osten und Asien befinden.

Bei Anschluss eines infizierten Speichermediums an einen Computer infiziert der Wurm diesen mittels Exploits, sammelt Informationen über das System und speichert sie in einem verborgenen Bereich des Speichergeräts. Sobald das Speichermedium an einen Computer angeschlossen wird, der über Internetzugang verfügt, sendet der Wurm alle gesammelten Informationen an den C&C-Server. Es existiert zudem ein Rücksendemechanismus für die Befehle vom C&C an die Computer mittels eines infizierten USB-Speichers.

Die Experten weisen auf eine wichtige Besonderheit von Fanny hin: Um Systeme zu infizieren, nutzt der Wurm dieselben Sicherheitslücken aus wie frühe Versionen von Stuxnet, wobei er sie schon nutzte, bevor sie überhaupt in Stuxnet auftraten. Der ähnliche Einsatz von Exploits in verschiedenen Schadprogrammen zu ungefähr derselben Zeit könnte ein Hinweis darauf sein, dass die Gruppe Equation und die Stuxnet-Entwickler dieselben Personen sind, oder aber dass sie sehr eng zusammenarbeiten.

Eine weitere, überaus ungewöhnliche Eigenschaft von Equation ist die Funktion zum Umprogrammieren der Firmware von Festplatten oder SSDs, um Zugriff auf verborgene Sektoren zu erhalten. Auf diese Weise bleiben die Schädlinge der Gruppe auf dem Computer gespeichert, selbst wenn die Festplatte formatiert oder das Betriebssystem neu installiert wird.

Die Forscher konnten bisher noch nicht feststellen, wer hinter der Equation Group steckt, es gibt lediglich indirekte Hinweise in Form von Schlüsselwörtern, die bei der Analyse der Module zutage getreten sind: SKYHOOKCHOW, prkMtx, SF, UR, URInstall, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER, GROK, RMGREE5.

Die Gruppe agiert äußerst umsichtig und infiziert nur sorgfältig ausgewählte Ziele. Kaspersky Lab gelang es, einen der Control und Command Server von Equation abzufangen, und zusammen mit den Informationen aus dem KSN (Kaspersky Security Network) konnte das Unternehmen mehr als 500 Opfer der Gruppe in mehr als 30 Ländern identifizieren. Gefunden wurden infizierte Server, Domain-Controller, Datenspeicher, Hosting-Websites und andere Server-Typen. Dabei verfügt die Equation-Infektion über einen Selbstzerstörungsmechanismus, was bedeutet, dass die Zahl der Opfer dieser Gruppe in die Zehntausende gehen könnte. Die Experten fanden zudem heraus, dass einige der Rechner, auf denen die ersten Stuxnet-Samples entdeckt worden waren, ebenfalls mit Equation infiziert waren, was den Schluss zulässt, dass der Schädling Equation zur Bereitstellung von Stuxnet benutzt wurde.

Die meisten entdeckten Equation-Opfer gehören zu den folgenden Kategorien: Regierungsorganisationen und diplomatische Organisationen, Unternehmen aus den Bereichen Telekommunikation, Luft- und Raumfahrt, Energie-, Erdöl- und Gaswirtschaft, Transport, Finanzen, Rüstungsindustrie und Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien sowie auf Kernphysik spezialisierte Unternehmen und Entwickler von kryptografischen Technologien.

Quelle:        Securelist

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.