Equation Group

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Die so genannte Equation Group, über die Kaspersky Lab am 17. Februar 2015 berichtete[1] soll seit fast zwei Jahrzehnten aktiv sein[2]. Die IT-Sicherheitsexperten des Global Research and Analysis Teams (GReAT) von Kaspersky Lab beobachten seit einigen Jahren mehr als 60 fortschrittliche und für weltweite Cyberangriffe verantwortliche Bedrohungsakteure und analysieren dabei immer komplexer werdende Attacken. Dabei mischen immer mehr Nationalstaaten im Cyberspace mit und rüsten sich mit den fortschrittlichsten Werkzeugen aus.

Bedeutung

Laut Kaspersky Lab ist die Equation Group jedoch in annähernd all ihren Aktivitäten einzigartig: Sie nutzen Werkzeuge, die sehr kompliziert und kostenintensiv zu entwickeln sind. Damit infizieren sie ihre Opfer, rufen Daten ab und verbergen ihre Aktionen in einer außergewöhnlich professionellen Weise. Darüber hinaus nutzen sie auch klassische Spionage-Taktiken, um bösartigen Code bei ihren Opfern zu platzieren.

Zur Infektion setzt die Gruppe eine Reihe von „Implantaten“ (Trojanern) ein, darunter die von Kaspersky Lab wie folgt benannten: EquationLaser, EqationDrug, DoubleFantasy, TripleFantasy, Fanny und GrayFish[3]. Zweifelsohne existieren noch weitere Implantate.


Angriff auf Festplatten-Firmware

Mit zwei Modulen ist die Neuprogrammierung der Festplatten-Firmware bei einem Dutzend beliebter Festplattenhersteller möglich. Dies ist die erste bekannte Malware, die direkt Festplatten infiziert.

Das Ändern der Systemsoftware einer Festplatte hat schwerwiegende Folgen:

  • Eine extrem hohe Widerstandsfähigkeit, mit der die Malware selbst eine Festplattenformatierung oder eine Neuinstallation des Betriebssystems überlebt. Sobald die Malware in die Firmware gelangt, kann sie sich selbst immer wieder herstellen und das Löschen bestimmter Festplattenbereiche verhindern beziehungsweise diesen Bereich während eines Systemneustarts durch einen schädlichen ersetzen. Wird eine Festplatte mit diesem gefährlichen Code infiziert, ist es unmöglich die Firmware zu scannen, weil für die meisten Festplatten Funktionen zum Beschreiben des Firmware-Bereichs ihrer Hardware existieren, aber nicht zur Wiedergabe. Das bedeutet, dass man mit dieser Malware infizierte Festplatten nicht erkennen kann.
  • Die Möglichkeit, einen unsichtbaren und dauerhaften Bereich auf der Festplatte zu schaffen, wird auch genutzt, um herausgefilterte Informationen zu speichern, die später von den Angreifern abgerufen werden können. Zudem kann dies in einigen Fällen beim Knacken der Verschlüsselung hilfreich sein.


Interaktion mit Stuxnet und Flame

Es gibt zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise mit den Betreibern von Stuxnet und Flame interagiert – wobei die Equation Group offenbar eine führende Position inne hatte. Die Equation Group hatte Zugang zu Zero-Day-Schwachstellen, bevor diese von Stuxnet und Flame genutzt wurden. Zu einem anderen Zeitpunkt teilten sie die Exploits mit den anderen[4].

Im Jahr 2008 nutzte der Schädling Fanny zwei Zero-Days, die erst im Juni 2009 und März 2010 in Stuxnet eingebaut wurden. Eine dieser Zero-Days in Stuxnet war ursprünglich ein Flame-Modul, das dieselbe Schwachstelle ausnutzt. Dieser wurde direkt aus der Flame-Plattform entnommen und in Stuxnet eingebaut.


Infrastruktur

Die Equation Group verwendet eine riesige C&C-Infrastruktur, die mehr als 300 Domains und über 100 Server umfasst. Die Server werden in zahlreichen Ländern betrieben, darunter auch in Deutschland, den USA, Großbritannien, Italien, den Niederlande, Panama, Costa Rica, Malaysia, Kolumbien und der Tschechischen Republik. Kaspersky Lab betreibt derzeit „Sinkhole“-Server bei mehreren Dutzend der 300 C&C-Server.


Die Opfer

Seit dem Jahr 2001 hat die Equation-Gruppe nach Feststellung von Kaspersky Lab[5] tausende, vermutlich zehntausende, Opfer in über 30 Ländern weltweit aus folgenden Bereichen infiziert: Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln.


Einzelnachweis

  1. SecuPedia Aktuell: Equation Group: die Mutter der Cyber-Spionage
  2. https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
  3. Infografik “Timeline”
  4. Infografik “Equation Group Familiy”
  5. http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_infographic_Victims_map.png


Weblink

Analyse Equation Group: https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/


Siehe auch



Diese Seite wurde zuletzt am 17. Februar 2015 um 12:41 Uhr von Peter Hohl geändert.

Anzeigen