Stuxnetist ja Flame’ist võimsam: Kaspersky Lab avastas hetkel maailma kõvima tegija küberspionaaži maailmas

21.02.2015

Aastate jooksul on Kaspersky Lab uurinud enam kui 60 küberspionaažioperatsiooni kogu maailmas, aga ettevõtte ekspertide hiljuti avastatu ületab ulatuselt, vahenditelt ja tõhususelt kõiki praeguseks teadaolevaid pahatahtlikke rünnakuid. Küberrühmitus nimega Equation Group on tegutsenud juba ligi kakskümmend aastat ja selle tegevus on mõjutanud tuhandeid, aga võib-olla koguni kümneid tuhandeid kasutajaid enam kui 30 riigis. Kõige rohkem rühmituse Equation Group ohvreid on registreeritud Venemaal ja Iraanis.

Erinevalt vahendite valikust on ründajate eesmärgid üsna tavapärased: valitsused ja diplomaatilised struktuurid, sõjalised ja finantsasutused, telekommunikatsiooniettevõtted, lennundus-, energia-, tuumaenergia-, nafta-, gaasi- ja transpordisektor, krüptograafia- ja nanotehnoloogia arendamisega seotud ettevõtted, aga ka meedia, islamiaktivistid ja teadlased.

Equation Groupi infrastruktuur hõlmab üle 300 domeeni ja 100 juhtimis-käsuserveri eri riikides, eelkõige USAs, Suurbritannias, Itaalias, Saksamaal, Hollandis, Panamas, Costa Ricas, Malaisias, Colombias ja Tšehhi Vabariigis. Hetkel kontrollib Kaspersky Lab umbes 20 rühmituse serverit.

Equation Groupi arsenalis on hulk pahavaraprogramme, millest mõni on vägagi uuenduslik. Näiteks avastas Kaspersky Lab esmakordselt oma tegevuse jooksul moodulid, mis võimaldavad 12 peamise tootja kõvaketaste operatsioonisüsteeme ümber programmeerida. Tuleb tähele panna, et sel viisil tabavad kurjategijad kaks kärbest ühe hoobiga. Esiteks jääb kõvaketta operatsioonisüsteemi pääsenud pahavara sinna alatiseks: seda pole võimalik tuvastada ega kõrvaldada. Seda ei hävita isegi kõvaketta formaatimine. Teiseks on ründajatel võimalus luua omale peidetud hoidla, kuhu saab ohutult koguda kõik vajalikud andmed.

Lisaks kasutab Equation Group ussprogrammi Fanny, mis võimaldab arvutist andmeid kätte saada isegi siis, kui see on globaalsest võrgust välja lülitatud. Selleks majutavad ründajad juba nakatunud arvuti kaudu ussi USB-pulgale, kus see tekitab varjatud sektorid, kuhu kogub kõik vajalikud andmed isoleeritud võrgu arhitektuuri kohta. Kui arvuti lülitatakse internetti, kannab uss kõik andmed kohe USB-pulgalt Equation Groupi serverisse. Ründajad võivad mälupulga varjatud sektorisse lisada ka vajalikud käsud, mille isoleeritud masinasse pääsenud uss seejärel täidab.

Lisaks avastas Kaspersky Lab, et Equation Group on teinud koostööd teiste küberrühmitustega, eriti laineid löönud kampaaniate Stuxnet ja Flame korraldajatega. Tõenäoliselt jagas Equation Group kolleegidega ründeskripte, mis kasutavad ära nullpäeva turvaauke. Näiteks kasutas uss Fanny juba 2008. aastal neid ründeskripte, mis ilmusid Stuxneti alles juunis 2009 ja märtsis 2010; seejuures sai ühest neist ründeskriptidest moodul Flame.

Nagu Kaspersky Labi eksperdid välja selgitasid, võib Equation Group nakatamise algstaadiumis kasutada kuni kümmet ründeskripti, kuid tegelikult kasutatakse harva üle kolme skripti. Ründajad proovivad süsteemi sisse murda, kasutades järjest kolme ründeskripti. Kui need katsed ei õnnestu, siis nad taanduvad.

Sellised arvuti nakatamise katsed saab blokeerida Kaspersky Labi toodetega. Paljud Equation Groupi rünnakud on tagasi tõrjutud tänu Kaspersky Labi turvalahendusse ehitatud moodulile „Automaatne ründeskriptikaitse”. Uss Fanny, mis eeldatavalt ilmus juulis 2008, lülitati ettevõtte musta nimekirja detsembris 2008.

Lähemalt lugege Equation Groupi tegevuse kohta Kaspersky Labi aruandest aadressil http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/.