brusszel


Megvan a legveszélyesebb vírus

Figyelő Online - Halaska Gábor
2015.02.19  13:21   
mail
nyomtatás
A Kaspersky Lab megtalálta a Stuxnet és a Flame elődjét - egy olyan komoly fenyegetést, amely minden kibereszköz és technika felett áll.
A Kaspersky Lab megtalálta a Stuxnet és a Flame elődjét - egy olyan komoly fenyegetést, amely minden kibereszköz és technika felett áll

A Kaspersky Lab globális kutató és elemző csapata (a továbbiakban: GReAT - Global Research and Analysis Team) több éve szorosan figyelemmel kísért több mint 60 olyan fejlett fenyegetést, amelyek világszerte kibertámadások soráért tehetők felelőssé. Most azonban a Kaspersky Lab szakértői megerősítették, hogy sikerült megtalálniuk azt a fenyegetést, amely összetettebb és kifinomultabb minden eddig ismertnél, és amely közel két évtizedig működött - ez pedig nem más, mint az Equation csoport.

2001 óta az Equation csoport több ezer - egyes feltételezések szerint több tízezer - áldozatot fertőzött meg a világ több mint 30 országában. A támadások a következő szektorokat érintették: kormányzati és diplomáciai szervezetek, távközlés, légiközlekedés, energia, nukleáris kutatás, olaj és gáz, katonaság, nanotechnológia. Célpontok voltak továbbá az iszlám aktivisták és tudósok, a tömegmédia, a közlekedés, a pénzintézetek és olyan vállalatok, amelyek titkosítási technológiákat fejlesztenek.

Az Equation csoport kiterjedt C&C infrastruktúrát használ, amely több mint 300 domaint és több mint 100 szervert tartalmaz. Ezeket a szervereket számos országban üzemeltetik, köztük az Egyesült Államokban, az Egyesült Királyságban, Olaszországban, Németországban, Hollandiában, Panamában, Costa Rica-ban, Malajziában, Kolumbiában és a Cseh Köztársaságban. A Kaspersky Lab jelenleg a 300 C&C szerverből néhány tucatot sinkholing technikával vizsgál.

Az áldozatok megfertőzéséhez a csoport a legfejlettebb malware-ek egész sorát használja. A GReAT-nek sikerült azonosítania két olyan modult, amely lehetővé teszi a merevlemez firmware-jének átprogramozását több tucat ismert merevlemez-márka esetében. Talán ez lehet az Equation csoport leghatékonyabb eszköze, és az első olyan ismert malware, amely képes a merevlemezek megfertőzésére.

Azáltal, hogy a merevlemez firmware-jét átprogramozta (azaz átírta a merevlemez operációs rendszerét), a csoport két célt is elért egyszerre:

 

1. Egy olyan, extrém méreteket öltő túlélőképességet, amely segít abban, hogy a malware átvészelje mind a lemezformázást, mind az operációs rendszer újratelepítését. Ha a malware bekerül a firmware-be, képes lesz arra, hogy örökké „feltámassza" magát. Megakadályozhatja egy lemezszektor törlését vagy felcserélheti azt egy rosszindulatú tartalmú szektorral a rendszer újraindulása alatt.

 

"Szintén veszélyes dolog, hogy ha a merevlemez egyszer megfertőződik ezzel a rosszindulatú kóddal akkor a firmware-t már lehetetlen átvizsgálni. Leegyszerűsítve: sok merevlemeznek vannak olyan funkciói, amellyel a firmware területre lehet írni, de nincsenek olyan funkciók, amelyekkel ezt vissza lehetne olvasni. Ez azt jelenti, hogy gyakorlatilag sötétben tapogatózunk, és nem tudjuk felderíteni azokat a merevlemezeket, amelyeket ez a malware megfertőzött." - figyelmeztetett Costin Raiu, a Kaspersky Lab Globális Kutató és elemző csapatának vezetője.

 

2. Annak a képességét, hogy létrehozzon egy láthatatlan, tartósan fennálló rejtett területet a merevlemezen belül. Ez szolgál az ellopott adatok tárolására, amelyeket a támadók később letöltenek maguknak. Valamint néhány esetben segít a csoportnak abban, hogy a titkosítást feltörjék: "Figyelembe véve azt a tényt, hogy a GrayFish implantátum egészen a rendszer betöltésének kezdetétől működik, megvan a képességük arra, hogy megszerezzék a titkosítási jelszót és ezen a rejtett helyen tárolják" - magyarázta Costin Raiu.

 

Mindemellett az Equation csoport a Fanny nevű férget is használta, amelynek elsődleges feladata az volt, hogy feltérképezze az izolált hálózatokat, más szóval megismerje a nem elérhető hálozatok topologiáját, és ezeken az elszigetelt rendszereken hajtson végre parancsokat. Ehhez egy különleges, USB-alapú parancs és vezérlő mechanizmust használt, amely lehetővé teszi a támadóknak, hogy oda-vissza mozgassák az izolált hálózatok adatait.

Egész pontosan egy fertőzött, rejtett tárterülettel rendelkező USB memóriát használtak az alapvető rendszerinformációk kinyerésére egy olyan számítógépből, amely nincs az internethez csatlakoztatva. Amikor aztán ezt az USB-memóriát egy, a Fanny-val fertőzött olyan gépbe helyezték, amely kapcsolódik az internethez, az azonnal továbbküldte az adatokat a C&C szervernek. Ha a támadók az izolált hálózatban akartak parancsokat végrehajtani, akkor elmentették ezeket a parancsokat az USB-memóra rejtett területére. Amikor egy izolált számítógépbe helyezték az USB-memóriát, a Fanny felismerte a parancsokat és végrehajtotta őket.

Ráadásul annak is jelei vannak, hogy az Equation csoport együttműködött más hackercsoportokkal , például a Stuxnet és a Flame üzemeltetőivel, méghozzá felettes pozícióban. Az Equation csoport korábban tudott nulladik napi támadásokat akalmazni, mint a Stuxnet és a Flame, és néhányszor meg is osztották a kihasználó kódokat másokkal.

Például 2008-ban a Fanny két olyan nulladik napi kihasználást alkalmazott, amelyeket a Stuxnet csak 2009 júniusában és 2010 márciusában vett fel az eszköztárába. Az egyikük egy, a Flame-től átvett modul volt.



 

A Kaspersky Lab az Equation csoport által a malware-ében használt hét kihasználó modult azonosított. Legalább négyet közülük nulladik napi támadásként használtak. Ismeretlen kihasználó modulokat is azonosítottak, amelyeket a Tor hálózathoz használt Firefox 17 böngésző ellen vetettek be .

A fertőzési folyamat során a csoport képes volt egymás után tíz kihasználó modult futtatni. Azonban a Kaspersky Lab szakértői azt figyelték meg, hogy sosem használtak háromnál többet. Ha az első nem sikeres, akkor megpróbálkoznak még eggyel, majd egy harmadikkal. Ha mindhárom elbukik, akkor nem fertőzik meg a rendszert.

A Kaspersky Lab termékei számos olyan esetet derítettek fel, amikor megkísérelték megfertőzni a felhasználóikat. A támadások közül sok az automatikus kihasználás elleni védelem technológiának köszönhetően volt sikertelen, amely felismeri és blokkolja az ismeretlen sebezhetőségek kihasználását. A feltehetően 2008 júliusában megjelent Fanny férget először 2008 decemberében észlelték és helyezték feketelistára a vállalat automatikus rendszerei.

Kapcsolódó cikkek
mail
nyomtatás

Hozzászólások

Le Pen az EU-s népszavazásról

Marine Le Pen államfővé választása esetén megvárja a német és az olasz parlamenti választások eredményét, mielőtt népszavazást ír ki.

Megszavazták a "CEU-törvényt"

A jövőben akkor működhet oklevelet adó külföldi felsőoktatási intézmény Magyarországon, ha működésének elvi támogatásáról államközi szerződés rendelkezik.

Újabb vizsgálat tárgya a Hungast

Mégsem jön létre a menza cégek tervezett fúziója. Egyelőre nem vásárolja meg a Hungast Zrt. a Sodexot, mert nem teheti. A Gazdasági Versenyhivatal közbelépett.

Szíriai fegyveresekkel állt kapcsolatban a szentpétervári merénylő

A felrobbantott pokolgép hasonló volt ahhoz a másikhoz, amelyet később a Ploscsagy Voszsztanyija metróállomáson hatástalanítottak.



Ötvenmilliárd feletti tőke a startupoknak

Az új ciklus első Európai Uniós forrásból finanszírozott kockázati tőkebefektetése a debreceni Insimu Patient volt, amely tőkét kapott a Hiventurestől.

Budapesti konferenciával indul a FabLaBNet

Az Európai Unió által támogatott új projekt, a FabLabNet március 28-án indul a partnerek által közösen, 3D-nyomtatott alkatrészekből épült rakéta jelképes kilövésével..

Kaposváron oktatják a jövő startup vállalkozóit

Európában is egyedülálló digitális oktatási platformmal és a diploma mellett akár befektetési lehetőségekkel is várja a Kaposvári Egyetem 2017-ben hallgatóit.

Másfél milliárd 6 erős nagyprojektre

A Bay Zoltán Kft. másfél milliárd forintnyi magas hozzáadott értékű kutatási, fejlesztési és innovációs projektek fejlesztését kezdi meg.

top200