Lo más visto: Kaspersky descubre al ancestro de Stuxnet y Flame: Equation Group

Durante varios años, el Equipo de Análisis e Investigación Global de Kaspersky Lab ha estado vigilando  a más de 60 actores de amenazas avanzadas responsables de ciberataques en todo el mundo. El equipo ha visto casi todo, incluyendo ataques que son cada vez más complejos conforme más estados nación se han involucrado y tratado de armar con las herramientas más avanzadas. Sin embargo, hasta ahora los expertos de Kaspersky  Lab pueden confirmar que han descubierto a un actor de amenaza que supera todo lo conocido en función de complejidad y sofisticación de técnicas, y que ha estado activo por casi dos décadas – El Grupo Equation.

Según los investigadores de Kaspersky Lab, el grupo es extraordinario en casi cada aspecto de sus actividades: utilizan herramientas que son muy complicadas y de desarrollo de alto costo para infectar a víctimas, recuperar datos y ocultar actividad de una manera extraordinariamente profesional, y utilizan técnicas clásicas de espionaje para introducir cargas maliciosas en las víctimas.

Para infectar a sus víctimas, el grupo utiliza un arsenal poderoso de “implantes” (Troyanos) incluyendo los siguientes que han sido bautizados por Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish. Sin duda habrá otros “implantes” en existencia.

¿QUÉ HACE EXTRAORDINARIO AL GRUPO EQUATION?

Persistencia e invisibilidad máximas

El Equipo Global de Investigación y Análisis de Kaspersky Lab ha podido recuperar dos módulos que permiten la reprogramación del firmware del disco duro de más de una docena de marcas populares de este tipo de hardware. Esta quizá sea la herramienta más poderosa del arsenal del Grupo Equation y el primer malware conocido capaz de infectar los discos duros.

Al reprogramar el firmware del disco duro (es decir, reescribir el sistema operativo del disco duro), el grupo logra dos propósitos:

  1. Un nivel extremo de persistencia que ayuda a sobrevivir el formateado del disco y la reinstalación del sistema operativo. Si el malware entra al firmware, está disponible para “revivir” para siempre. Puede prevenir que se borre un cierto sector del disco o sustituirlo con uno malicioso durante el proceso de arranque del sistema.

“Otra cosa peligrosa es que una vez que el disco duro se infecta con esta carga maliciosa, es imposible analizar su firmware. Para explicarlo de manera más simple: para la mayoría de los discos duros hay funciones para escribir en el área del firmware del hardware, pero no hay funciones para leerlo de nuevo. Significa que estamos prácticamente ciegos, y no podemos detectar discos duros que han sido infectados por este malware”  ” – advierte Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab.

  1. La capacidad de crear un área persistente invisible oculta dentro del disco duro. Se usa para guardar información extraída que los atacantes pueden recuperar más tarde. Asimismo, en algunos casos puede ayudar al grupo a entreabrir el cifrado: “Tomando en cuenta el hecho que su implante GrayFish está activo desde el arranque del sistema, tienen la posibilidad de captar la contraseña del cifrado y guardarla en su área oculta,”  explica Costin Raiu.

Capacidad para recuperar datos de redes aisladas

El gusano Fanny se destaca de todos los ataques realizados por el grupo Equation. Su principal propósito fue mapear redes aisladas protegidas, en otras palabras – comprender la topología de una red inaccesible, y ejecutar comandos para esos sistemas aislados. Para esto, utilizó un comando y mecanismo de control basado en USB el cual permitió a los atacantes llevar y traer datos de redes aisladas protegidas.

En particular, una memoria USB infectada con un área de almacenamiento oculta se utilizó para reunir información básica de una computadora no conectada a Internet y para enviarla a la dirección de Comando y Control cuando dicha memoria USB fuera conectada en alguna computadora infectada por Fanny y que tuviera conexión a Internet. Si los atacantes querían ejecutar comandos en las redes aisladas protegidas, podían guardar estos comandos en el área oculta de la memoria USB. Cuando la memoria USB se insertó en la computadora aislada protegida, Fanny reconoció los comandos y los ejecutó.

Métodos clásicos de espionaje para introducir malware

Los atacantes utilizaron métodos universales para infectar objetivos: no sólo a través de la web, sino también mediante mecanismos físicos. Para ello utilizaron una técnica de interceptar – interceptando bienes físicos y reemplazándolos con versiones infectadas con Troyanos. Un ejemplo es el de participantes seleccionados en una conferencia científica en Houston: al regresar en casa, algunos de los participantes recibieron una copia de los materiales de la conferencia en un CD-ROM el cual se utilizó para instalar el implante DoubleFantasy del grupo en la máquina del objetivo. El método exacto por el cual estos CDs fueron interceptados se desconoce.

AMIGOS DE MALA REPUTACIÓN: STUXNET Y FLAME

Hay lazos sólidos que indican que el Grupo Equation ha interactuado con otros grupos poderosos, como con los operadores de Stuxnet y Flame – generalmente desde una posición de superioridad. El Grupo Equation tuvo acceso a días cero antes de que éstos fueran utilizados por Stuxnet y Flame, y en algún punto compartieron exploits con otros.

Por ejemplo, en 2008 Fanny utilizó dos días cero que fueron introducidos con Stuxnet en junio de 2009 y marzo de 2010. Uno de esos días cero en Stuxnet fue en realidad un módulo de Flame que aprovecha la misma vulnerabilidad y el cual se tomó directamente de la plataforma Flame y se incorporó a Stuxnet.

El Grupo Equation utiliza una vasta infraestructura de Comando y Control que incluye más de 300 dominios y más de 100 servidores. Los servidores están alojados en múltiples países, incluyendo los Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia y la República Checa. Kaspersky Lab está actualmente usurpando el control de un par de docenas de estos 300 servidores de Comando y Control.

Sesde el año 2001, el Grupo Equation ha estado ocupado infectando miles, o quizá incluso decenas de miles de víctimas en más de 30 países de todo el mundo, cubriendo los sectores siguientes: Instituciones diplomáticas y gubernamentales, Telecomunicaciones, Aeroespaciales, de Energía, investigación Nuclear, Gas y Petroleras, Militares, de Nanotecnología, activistas Islámicos, medios masivos de comunicación, de Transporte, instituciones Financieras y compañías de desarrollo de tecnologías de cifrado.

DETECCIÓN

Kaspersky Lab observó siete exploits utilizados por el Grupo Equation en su malware. Por lo menos cuatro de éstos fueron utilizados como días cero. Además de esto, se observó el uso de exploits desconocidos, posiblemente de día cero, contra Firefox 17, como se utilizó en el navegador Tor.

Durante la etapa de infección, el grupo tiene la capacidad de utilizar diez exploits en una cadena. Sin embargo, los expertos de Kaspersky Lab observaron que no más de tres se utilizan: si el primero no tiene éxito, entonces intentan con otro, y luego con el tercero. Si fallan los tres exploits, no infectan el sistema.

Los productos de Kaspersky Lab detectan muchas tentativas para atacar a sus usuarios. Muchos de estos ataques no tuvieron éxito gracias a la tecnología de Prevención Automática de Exploit que detecta de manera genérica y bloquea la utilización de vulnerabilidades desconocidas. El gusano Fanny, se presume que fue compilado en julio de 2008, se detectó por primera vez y se incluyó en la lista negra mediante nuestros sistemas automáticos en diciembre de 2008.

Para obtener más información sobre el Grupo Equation, lea por favor el blog disponible en Securelist.com.