Лабораторія Касперського розкрила безпрецедентну кібер-кампанію АНБ сша
Науково-дослідна група «Лабораторії Касперського» GReAT доповіла про розкриття найнебезпечнішої схеми комп'ютерного шпигунства. У ній використані найсучасніші і витончені інструменти, включаючи шкідливий модуль, що змінює прошивку жорсткого диска, і прослуховування комп'ютерних мереж. Непрямі дані вказують на те, що дана схема працює під контролем Агентства національної безпеки США.
На конференції, що відбулася 16 лютого 2015 в Мексиці, GReAT представила звіт про розкритою їй грандіозної кампанії з комп'ютерного шпигунства. Автор цієї мережі - хакерська група Equation. Доведено, що вона працювала вже в 2001 році. Але не виключено, що Equation була сформована на п'ять років раніше цього терміну.
Представники «Лабораторії Касперського» прямо не вказали, якій країні належить Equation. Але вони представили докази її зв'язку з хробаком Stuxnet. Відомо, що цей черв'як був запущений АНБ США для організації атаки на об'єкти ядерної програми Ірану.
Додаткові непрямі підтвердження причетності США до Equation можна знайти в документах, розсекречених Сноуденом. Деяких з них свідчать, що Агентство національної безпеки США проводить роботи для домінування в кіберпросторі. У разі серйозного конфлікту воно зможе вивести з ладу комп'ютери противника і пов'язану з ними інфраструктуру.
Постраждалі від діяльності хакерів Equation
У мережі Equation потрапило 30 країн. У їх числі Росія, Іран, Пакистан, Китай, та інші. Існує строгий відбір жертв хакерського вторгнення. Встановлено, що в першу чергу під повний віддалений контроль бралися комп'ютери дипломатичних представництв та урядових установ, телекомунікаційних та аерокосмічних організацій, енергетичних і військових об'єктів, інститутів, що займаються ядерними дослідженнями і нанотехнологіями, а також фінансових і деяких інших установ.
Як Equation бере комп'ютери під свій контроль?
Найбільш витонченим інструментом Equation є модуль nls_933w.dll. Він призначений для зміни прошивки жорсткого диска і доступу до деяких прихованим секторам. «Лабораторія Касперського» встановила, що даний модуль здатний вражати жорсткі диски 12 виробників, включаючи Western Digital, Seagate, Toshiba, Maxtor, IBM та інших. Western Digital, Seagate і Micron вже заявили, що не співпрацювали з АНБ в цьому напрямку, а Toshiba, Samsung і IBM вважали за краще утриматися від коментарів.
Слід сказати, що завдяки впровадженню шкідливого ПЗ в прошивку жорсткого диска, його не можна виявити за допомогою антивірусних програм. Воно не піддається видаленню за допомогою переустановлення операційної системи або повного форматування жорсткого диска. Equation використовувала nls_933w.dll відносно рідко - тільки на «важливих» комп'ютерах.
Інші модулі хакерської групи здатні знаходити і копіювати ключі шифрування, що відкриває легкий доступ до зашифрованих даних. Крім того, у неї були інструменти для копіювання даних з комп'ютерів, не підключених до мережі. Файли могли переноситися на флешках, таємно копіюючи туди за рахунок ряду вразливостей.
Підрахунки GReAT показали, що щомісяця під контроль Equation потрапляє близько 2 тисяч комп'ютерів. Ймовірно, багато хто з них «відпадають», як не представляють особливого інтересу. За спостереженнями «Лабораторії Касперського» модулі Equation виявлені тільки на комп'ютерах з операційною системою Microsoft Windows. Однак є ознаки того, що діяльність хакерської групи зачіпає і Mac OS X.
Які ознаки попадання комп'ютера під контроль Equation?
GReAT підкреслює, що Equation - це група укритті високопрофесійних хакерів, здатних добре «замітати сліди». Але представники «Лабораторії Касперського» назвали кілька ознак, які можуть вказувати на зараження. Серед цих ознак - наявність у програмних модулях таких ключових слів, як:
- SKYHOOKCHOW
- prkMtx
- SF в таких поєднаннях, як SFInstall або SFConfig
- UR - URInstall
- implant
- STEALTHFIGHTER
- DRINKPARSLEY
- STRAITACID
- LUTEUSOBSTOS
- STRAITSHOOTER (STRAITSHOOTER30.exe)
- DESERTWINTER (c: desert ~ 2 desert ~ 3 objfre_w2K_x86 i386 DesertWinterDriver.pdb)
- GROK (standalonegrok_2.1.1.1)
- RMGREE5 (c: users rmgree5 ...)
Втім, якщо ваш комп'ютер використовується тільки для ігор, перегляду фільмів, спілкування в соціальних мережах і інший нешкідливою для США діяльності, то він навряд чи зацікавить хакерів з Equation.
Таким чином, «Лабораторія Касперського» завдала ще одного серйозного удару по репутації Агентства національної безпеки США. Багато чого про те, якими «темними справами» займається ця урядова служба, ми дізналися з документів, оприлюднених Едвардом Сноуденом.
А ви боїтеся АНБ США? Чекаю ваші думки з цього приводу в коментарях.
Зі звітом GReAT про групу Equation можна познайомитися тут [англ. яз.]
