El Grupo de ecuaciones , que se clasifica como una amenaza persistente avanzada , es un muy sofisticado agente amenaza sospechoso de estar vinculado a la Medida operaciones de acceso a la unidad (TAO) de la Estados Unidos Agencia Nacional de Seguridad (NSA). [1] [2] [3] Kaspersky Labs los describe como uno de los grupos de ciberataques más sofisticados del mundo y "el más avanzado ... que hemos visto", operando junto a los creadores, pero siempre desde una posición de superioridad. de Stuxnet y Flame . [4] [5] La mayoría de sus objetivos han estado en Irán ,Rusia , Pakistán , Afganistán , India , Siria y Mali . [5]
Tipo | Amenaza Persistente Avanzada |
---|---|
Localización | |
Productos | Stuxnet , Llama , EternalBlue |
Organización matriz |
|
El nombre se originó por el uso extensivo de encriptación del grupo. Para 2015, Kaspersky documentó 500 infecciones de malware por parte del grupo en al menos 42 países, aunque reconoció que el número real podría ser de decenas de miles debido a su protocolo de terminación automática. [5] [6]
En 2017, WikiLeaks publicó una discusión mantenida dentro de la CIA sobre cómo había sido posible identificar al grupo. [7] Un comentarista escribió que "el Grupo de ecuaciones como se etiqueta en el informe no se relaciona con un grupo específico sino más bien con una colección de herramientas" que se utilizan para la piratería. [8]
Descubrimiento
En la Cumbre de analistas de seguridad de Kaspersky celebrada en México el 16 de febrero de 2015, Kaspersky Lab anunció el descubrimiento del Equation Group. Según el informe de Kaspersky Lab, el grupo ha estado activo desde al menos 2001, con más de 60 actores. [9] Se ha descubierto que el malware utilizado en sus operaciones, denominado EquationDrug y GrayFish, es capaz de reprogramar el firmware de la unidad de disco duro . [4] Debido a las técnicas avanzadas involucradas y al alto grado de encubrimiento, se sospecha que el grupo tiene vínculos con la NSA, pero Kaspersky Lab no ha identificado a los actores detrás del grupo.
Enlaces probables a Stuxnet y la NSA
En 2015, los resultados de la investigación de Kaspersky sobre Equation Group señalaron que su cargador, "Grayfish", tenía similitudes con un cargador previamente descubierto, "Gauss", de otra serie de ataques, y señaló por separado que Equation Group utilizó dos ataques de día cero que luego se usaron en Stuxnet ; los investigadores concluyeron que "el tipo similar de uso de ambos exploits juntos en diferentes gusanos informáticos, aproximadamente al mismo tiempo, indica que el grupo EQUATION y los desarrolladores de Stuxnet son iguales o trabajan en estrecha colaboración". [10] : 13
Firmware
También identificaron que la plataforma en ocasiones se había propagado por interdicción (interceptación de CD legítimos enviados por un organizador de una conferencia científica por correo ), [10] : 15 y que la plataforma tenía la capacidad "sin precedentes" de infectar y transmitirse a través de firmware de disco duro de varios de los principales fabricantes de discos duros, y crea y usa áreas de disco ocultas y sistemas de disco virtual para sus propósitos, una hazaña que requeriría acceso al código fuente del fabricante para lograr, [10] : 16–18 y que la herramienta fue diseñado para la precisión quirúrgica, yendo tan lejos como para excluir países específicos por IP y permitir la orientación de nombres de usuario específicos en foros de discusión . [10] : 23-26
Palabras en clave y marcas de tiempo
Las palabras en clave de la NSA "STRAITACID" y "STRAITSHOOTER" se han encontrado dentro del malware. Además, las marcas de tiempo en el malware parecen indicar que los programadores trabajaron abrumadoramente de lunes a viernes en lo que correspondería a un día laboral de 08:00 a 17:00 (8:00 a. M. A 5:00 p. M.) En una zona horaria del este de los Estados Unidos. . [11]
El exploit de LNK
El equipo global de investigación y análisis de Kaspersky, también conocido como GReAT, afirmó haber encontrado una pieza de malware que contenía el "privLib" de Stuxnet en 2008. [12] Específicamente, contenía el exploit LNK encontrado en Stuxnet en 2010. Fanny [1] está clasificada como un gusano que afecta a ciertos sistemas operativos Windows e intenta propagarse lateralmente a través de una conexión de red o almacenamiento USB . Kaspersky declaró que sospechan que Equation Group ha existido más tiempo que Stuxnet, según el tiempo de compilación registrado de Fanny. [4]
Enlace a IRATEMONK
F-Secure afirma que el firmware malicioso del disco duro de Equation Group es el programa TAO "IRATEMONK", [13] uno de los elementos del catálogo NSA ANT expuestos en un artículo de Der Spiegel de 2013 . IRATEMONK le brinda al atacante la capacidad de tener su aplicación de software instalada de manera persistente en computadoras de escritorio y portátiles, a pesar de que se formatee el disco , se borren sus datos o se reinstale el sistema operativo. Infecta el firmware del disco duro, que a su vez se suma a las instrucciones del disco de registro de inicio maestro que hace que el software a instalar cada vez que el equipo está arrancado . [14] Es capaz de infectar ciertos discos duros de Seagate , Maxtor , Western Digital , Samsung , [14] IBM , Micron Technology y Toshiba . [4]
2016 incumplimiento del Grupo Equation
En agosto de 2016, un grupo de piratas informáticos que se hacía llamar " The Shadow Brokers " anunció que había robado código de malware del Equation Group. [15] Kaspersky Lab notó similitudes entre el código robado y el código conocido anterior de las muestras de malware de Equation Group que tenía en su poder, incluidas peculiaridades exclusivas de la forma de Equation Group de implementar el algoritmo de cifrado RC6 , y por lo tanto concluyó que este anuncio es legítimo. [16] Las fechas más recientes de los archivos robados son de junio de 2013, lo que llevó a Edward Snowden a especular que un posible bloqueo resultante de su filtración de los esfuerzos de vigilancia nacional y global de la NSA detuvo la violación de The Shadow Brokers del Equation Group. Las vulnerabilidades contra los dispositivos de seguridad adaptable de Cisco y los firewalls de Fortinet se incluyeron en algunas muestras de malware publicadas por The Shadow Brokers. [17] EXTRABACON, un exploit de Protocolo simple de administración de redes contra el software ASA de Cisco, era un exploit de día cero en el momento del anuncio. [17] Juniper también confirmó que sus firewalls NetScreen se vieron afectados. [18] El exploit EternalBlue se utilizó para llevar a cabo el dañino ataque de ransomware WannaCry en todo el mundo .
Ver también
- Divulgaciones de vigilancia global (2013-presente)
- Operaciones de inteligencia de Estados Unidos en el exterior
- Piratería de firmware
Referencias
- ^ Fox-Brewster, Thomas (16 de febrero de 2015). "¿Ecuación = NSA? Investigadores desenmascaran enorme 'Arsenal cibernético estadounidense ' " . Forbes . Consultado el 24 de noviembre de 2015 .
- ^ Menn, Joseph (17 de febrero de 2015). "Los investigadores rusos exponen el programa de espionaje de Estados Unidos de gran avance" . Reuters . Consultado el 24 de noviembre de 2015 .
- ^ "La nsa fue hackeada, confirman los documentos de snowden" . La intercepción . 19 de agosto de 2016 . Consultado el 19 de agosto de 2016 .
- ^ a b c d GReAT (16 de febrero de 2015). "Ecuación: la estrella de la muerte de Malware Galaxy" . Securelist.com . Kaspersky Lab . Consultado el 16 de agosto de 2016 .
SecureList , Costin Raiu (director del equipo de análisis e investigación global de Kaspersky Lab): "Me parece que Equation Group son los que tienen los juguetes más geniales. De vez en cuando los comparten con el grupo Stuxnet y el grupo Flame, pero son originalmente disponible solo para la gente de Equation Group. Equation Group son definitivamente los maestros, y les están dando a los demás, tal vez, migajas de pan. De vez en cuando les están dando algunas golosinas para que se integren en Stuxnet y Flame ".
- ^ a b c Goodin, Dan (16 de febrero de 2015). "Cómo los piratas informáticos" omnipotentes "vinculados a la NSA se escondieron durante 14 años y finalmente fueron encontrados" . Ars Technica . Consultado el 24 de noviembre de 2015 .
- ^ Kirk, Jeremy (17 de febrero de 2015). "Destruir tu disco duro es la única forma de detener este malware súper avanzado" . PCWorld . Consultado el 24 de noviembre de 2015 .
- ^ Bien, Dan. "Después de la denuncia de piratería de la NSA, el personal de la CIA preguntó dónde salió mal Equation Group" . Ars Technica . Consultado el 21 de marzo de 2017 .
- ^ "¿Qué hizo mal la Ecuación y cómo podemos evitar hacer lo mismo?" . Bóveda 7 . WikiLeaks . Consultado el 21 de marzo de 2017 .
- ^ "Grupo de ecuaciones: el creador de la corona del ciberespionaje" . Kaspersky Lab . 16 de febrero de 2015 . Consultado el 24 de noviembre de 2015 .
- ^ a b c d "Grupo de ecuaciones: preguntas y respuestas (versión: 1.5)" (PDF) . Kaspersky Lab . Febrero de 2015. Archivado desde el original (PDF) el 17 de febrero de 2015 . Consultado el 24 de noviembre de 2015 .
- ^ Goodin, Dan (11 de marzo de 2015). "La nueva pistola humeante vincula aún más a la NSA con los omnipotentes" hackers "del" Equation Group " . Ars Technica . Consultado el 24 de noviembre de 2015 .
- ^ "Una ecuación de Fanny:" Soy tu padre, Stuxnet " " . Kaspersky Lab. 17 de febrero de 2015 . Consultado el 24 de noviembre de 2015 .
- ^ "El grupo de ecuaciones es igual a NSA / IRATEMONK" . F-Secure Weblog: Noticias del laboratorio . 17 de febrero de 2015 . Consultado el 24 de noviembre de 2015 .
- ^ a b Schneier, Bruce (31 de enero de 2014). "IRATEMONK: Hazaña del día de la NSA" . Schneier sobre seguridad . Consultado el 24 de noviembre de 2015 .
- ^ Goodin, Dan (15 de agosto de 2016). "El grupo afirma haber pirateado a los piratas informáticos vinculados a la NSA, publica exploits como prueba" . Ars Technica . Consultado el 19 de agosto de 2016 .
- ^ Goodin, Dan (16 de agosto de 2016). "Confirmado: la filtración de la herramienta de piratería provino del" omnipotente "grupo vinculado a la NSA" . Ars Technica . Consultado el 19 de agosto de 2016 .
- ^ a b Thomson, Iain (17 de agosto de 2016). "Cisco confirma que dos de los vulns 'NSA' de Shadow Brokers son reales" . El registro . Consultado el 19 de agosto de 2016 .
- ^ Pauli, Darren (24 de agosto de 2016). "Equation Group exploit hits más reciente Cisco ASA, Juniper Netscreen" . El registro . Consultado el 30 de agosto de 2016 .
enlaces externos
- Grupo de ecuaciones: preguntas y respuestas de Kaspersky Lab , versión 1.5, febrero de 2015
- Una ecuación de Fanny: "Soy tu padre, Stuxnet" por Kaspersky Lab , febrero de 2015
- fuente fanny.bmp - en GitHub , 30 de noviembre de 2020
- Redacción técnica: en GitHub , 10 de febrero de 2021