Кому лень читать, вкратце в видео сюжете: Как «всемогущие» хакеры, связанные с АНБ, скрытно работали в течение 14 лет, а затем наконец были обнаружены. В 2009 году несколько исследователей получили по почте компакт-диск, содержавший фотографии и другие материалы с недавней научной конференции. Тогда ученые не могли знать о том, что на диске также было вредоносное содержимое, разработанное очень умелой хакерской группировкой, которая ведет свою деятельность как минимум с 2001 года. Судя по всему, содержимое компакт-диска изменилось где-то между пунктами отправления и назначения. Это был не первый раз, когда злоумышленники, названные Лабораторией Касперского «Equation Group», тайно перехватили пакет во время пересылки, добавили в него опасное содержимое и отправили получателю дальше. Лаборатория присвоила группировке название Equation Group («Группа уравнения») в связи с тем, что ее участники активно использовали алгоритмы шифрования, передовые методы маскировки и изощренные технологии. В 2002 или 2003 году участники Equation Group сделали подобное с компакт-диском для установки баз данных Oracle, чтобы заразить цель зловредной программой из своей обширной библиотеки. Исследователи из Лаборатории Касперского зафиксировали 500 случаев заражения программами Equation Group в 42 странах. В топе этого списка — Иран, Россия, Пакистан, Афганистан, Индия, Сирия и Мали. Поскольку программы оснащались механизмами самоуничтожения, исследователи полагают, что это лишь крохотная доля от общей массы зараженных компьютеров, а фактическое количество жертв, скорее всего, исчисляется десятками тысяч. Изображение Длинный список технических находок свидетельствует о высоком мастерстве участников Equation Group, их усердной работе и неограниченных ресурсах. В список входят: Использование виртуальных файловых систем — функции, которая также содержится в сложном вредоносном ПО Regin. Недавно опубликованные документы, предоставленные Эдвардом Сноуденом, свидетельствуют, что АНБ США (Агентство национальной безопасности) использовало Regin для заражения частично принадлежащей государству бельгийской компании Belgacom. Размещение вирусов в разных ветвях реестра зараженного компьютера. Благодаря шифрованию всех вредоносных файлов и размещению их в различных ветвях реестра Windows заражение было невозможно обнаружить с помощью антивирусных программ. Схемы переадресации, которые направляли пользователей iPhone на уникальные веб-страницы с ловушками. В дополнение к этому зараженные компьютеры, которые передавали отчеты на командные сервера Equation Group, проходили идентификацию как компьютеры Mac, то есть группировка успешно взламывала устройства под управлением iOS и OS X. Использование более чем 300 доменов и 100 серверов для размещения разветвленной командной и управляющей инфраструктуры. Разведывательные программы на USB-накопителях для изучения структуры изолированных сетей, которые настолько секретны, что не подключаются к интернету. Червь Stuxnet и связанное с ним вредоносное ПО Flame также обладали возможностью попадания в изолированные сети. Необычный, если не уникальный, способ обойти ограничения в современных версиях Windows, которые требуют, чтобы любое ПО сторонних производителей, работающее с ядром операционной системы, обладало цифровой подписью признанного поставщика сертификатов. Для обхода этих ограничений хакеры Equation Group использовали уязвимость уже подписанного драйвера программы CloneCD, чтобы добиться выполнения своего кода на уровне ядра. С учетом всех этих достижений исследователи Лаборатории Касперского пришли к выводу, что Equation Group, возможно, является самой передовой хакерской группировкой мира и обладает техническими навыками и ресурсами, превосходящими возможности команд, которые разработали шпионские программы Stuxnet и Flame. Костин Райю, руководитель общемирового направления исследований и анализа, говорит: «Мне кажется, что Equation Group обладают самыми продвинутыми игрушками, которыми время от времени делятся с группировками Stuxnet и Flame, но изначально эти игрушки доступны только участникам Equation Group. Они, несомненно, находятся на верхней ступени, а остальным достаются лишь крошки с их стола». Не стоит ли за ними АНБ? В опубликованном в понедельник отчете с Саммита вирусных аналитиков, который проводит Лаборатория Касперского, исследователи не стали утверждать, что Equation Group является детищем АНБ США, но предоставили подробную информацию, недвусмысленно намекающую на причастность американского разведывательного ведомства: Способность группировки осуществлять сложные операции, такие как установка скрытой прошивки в маршрутизатор производства Cisco Systems во время его пересылки по почте. Продвинутая программа для регистрации нажатий клавиш в библиотеке Equation Group в исходном коде именуется «Grok». Это название напоминает об опубликованной в прошлом марте статье издания Intercept под заголовком «Как АНБ планирует заразить миллионы компьютеров вредоносными программами» (How the NSA Plans to Infect ’Millions’ of Computers with Malware). Статья была написана на основании документов, предоставленных Сноуденом, и в ней обсуждался разработанный АНБ регистратор нажатий клавиатуры под названием Grok. В других фрагментах исходного кода Equation Group упоминаются объекты STRAITACID и STRAITSHOOTER. Эти кодовые слова сильно похожи на термин STRAITBIZARRE, который использовался для обозначения одной из самых передовых вредоносных платформ, применяемой подразделением АНБ по получению доступа к специальным объектам. В дополнение к необычному написанию слова «strait» (вместо straight) предоставленные Сноуденом документы указывают, что объект STRAITBIZARRE может превращаться в одноразовый объект типа «shooter». Кроме того, кодовое наименование FOXACID относится к той же вредоносной платформе АНБ США, что и регистратор нажатий клавиатуры Grok. Помимо этих общих кодовых слов Equation Group в 2008 году использовали четыре уязвимости нулевого дня, включая две, которые в дальнейшем использовались червем Stuxnet. Сходства на этом не заканчиваются. Вредоносное ПО Equation Group под названием GrayFish шифровало свой основной рабочий код с использованием хеш-суммы для 1000-кратного повторения уникального идентификатора объекта файловой системы NTFS целевого компьютера. Это не позволяет исследователям получить доступ к окончательному рабочему коду без полного образа диска для каждого отдельного зараженного компьютера. Методика сильно напоминает ту, которая использовалась для маскировки потенциально мощного вредоносного кода в Gauss, еще одном образце передового зловредного ПО, который также обладал сильными сходствами с Stuxnet и Flame. (Согласно данным, червь Stuxnet был совместной разработкой АНБ США и спецслужб Израиля, а Flame разрабатывался при участии АНБ, ЦРУ и израильских военных). Помимо технического сходства с разработками Stuxnet и Flame участники Equation Group могут похвастаться уровнем технической подготовки, который обычно ожидают от сотрудников разведывательного ведомства, финансируемого богатейшей страной мира. Например, одна из зловредных платформ Equation Group переписывала прошивку жесткого диска зараженных компьютеров — невиданное техническое изобретение, которое достигало своей цели на накопителях 12 различных категорий таких производителей, как Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba и Seagate. Затем прошивка формировала секретную область, которая выдерживала самую глубокую очистку диска и переформатирование, что позволяло похищать секретные данные даже после переустановки операционной системы. Эта прошивка также создавала программные интерфейсы, к которым мог получать доступ другой код из разветвленной библиотеки Equation Group. После однократного заражения жесткого диска вирус невозможно было обнаружить или удалить. Изображение Некоторые из жестких дисков, к которым Equation Group получили доступ с помощью вредоносного ПО Хотя конечные пользователи легко могут перепрошить жесткий диск, используя исполняемые файлы, которые предоставляются производителем, для человека со стороны практически невозможно провести обратное конструирование жесткого диска, прочесть имеющуюся прошивку и создать ее зловредную версию. Райю говорит: «Невероятно сложная задача, которую смогли решить эти ребята — и проделали это не для одного производителя жестких дисков. Это очень опасно, ведь после заражения жесткого диска такой зловредной программой никто, включая производителей антивирусов, не может сканировать прошивку жесткого диска. Сделать это просто невозможно». Изображение Работа Equation Group Один из самых интересных аспектов работы Equation Group — вероятное применение ими скрытых «закладок» для заражения целей. Такие перехваты свидетельствуют не только о степени организации в группе и ее технических возможностях, но и демонстрируют, на какие сложные схемы шли преступники, чтобы добраться до людей, представляющих для них интерес. Компакт-диски с некой научной конференции, прошедшей в Хьюстоне в 2009 году — в Лаборатории Касперского отказались ее назвать — использовали autorun.inf в Windows для установки вредоносной программы под названием DoubleFantasy. Лаборатории известно, что организаторы конференции рассылали диск ее участникам. Также известно: по крайней мере один из них получил диск с внедренными в него изменениями, но исследователи компании не располагают подробными сведениями о том, как вредоносный код попал на диск. Райю говорит: «Диск легко прослеживается до организаторов конференции, и мы могли бы указать на них, но это привело бы к серьезным дипломатическим последствиям. Мы предполагаем, что организаторы не распространяли вредоносный код
