卡巴斯基实验室发现了一个名为Equation Group的史上最强网络犯罪组织。该团伙已活跃了近20年,并且在攻击复杂性和攻击技巧方面超越了所有已知的网络犯罪组织。根据卡巴斯基实验室的调查,Equation Group使用了大量命令和控制架构,包括超过300个域名和超过100台服务器。这些服务器位于美国、英国、意大利、德国、荷兰、巴拿马、哥斯达黎加、马来西亚、哥伦比亚和捷克等多个国家。目前,卡巴斯基实验室正在对300个命令和控制服务器中的几十个进行Sinkhole。
据了解,从2001年到现在,Equation Group已经在全球超过30个国家感染了数千个,甚至上万个受害者。这些受害者包括政府和外交机构、电信行业、航空行业、能源行业、核能研究机构、石油和天然气行业、军工行业、纳米技术行业、伊斯兰激进分子和学者、大众媒体、交通行业、金融机构以及加密技术开发企业等。
根据卡巴斯基实验室目前所掌握的证据,Equation Group和其他网络犯罪组织有关联,例如Stuxnet和Flame幕后的操纵者。但是,Equation Group通常处于优越地位。早在Stuxnet和Flame使用零日漏洞进行攻击之前,Equation Group就已经掌握了这些零日漏洞。有些时候,他们还会同其他网络犯罪组织分享漏洞利用程序。例如,Fanny曾经在2008年使用了两种零日漏洞进行攻击,而此后这两种漏洞于2009年6月和2010年3月被Stuxnet所采用。Stuxnet使用的其中一个零日漏洞其实是一种Flame模块,它们所攻击的漏洞一致,该模块直接取自Flame平台,之后被添加入Stuxnet。
那么,除了与其他网络犯罪组织有关联外,Equation Group究竟何有特殊之处?根据卡巴斯基实验室的研究,该网络犯罪组织使用了强大的“植入物”(木马)武器感染受害者。卡巴斯基实验室已将这些木马程序命名为EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny和GrayFish。然而,最重要的是,卡巴斯基实验室的全球研究和分析团队发现了两个可以对数十种常见品牌的硬盘固件进行重新编程的恶意模块。这可能是Equation Group所掌握的最强大的武器,同时也是首个已知的能够直接感染硬盘的恶意软件。
网络罪犯可通过重新编程硬盘固件(即重写磁盘驱动器的操作系统),让恶意软件达到极高的顽固性,甚至在格式化磁盘和重装系统后仍然能够存活。如果恶意软件入侵磁盘固件,它将无限次地“复活”。它可能会阻止删除某个特定的磁盘扇区,或在系统重启过程中将其替换为恶意代码。卡巴斯基实验室全球研究和分析团队总监Costin Raiu对此警告说:“还有一种危险,即当磁盘被感染后,就无法对其固件进行扫描。简言之,大多数硬盘只能对其硬件固件区域进行写入,却不具备读取功能。这意味着,我们几乎对此一无所知,无法检测磁盘是否被该恶意软件所感染。”
网络罪犯还可以通过重新编程硬盘固件,在磁盘上创建一个持久的隐藏区域。这一区域可用以存储网络罪犯窃取到的信息,之后再将其取走。此外,有些时候还可以帮助网络罪犯破译数据加密。Costin Raiu进一步解释说:“由于GrayFish木马在系统启动初始阶段就处于活动状态,它能够截取加密密码,并将其保存在磁盘的隐藏区域。”
不仅如此,Equation Group还能够从隔离网络中获取数据。在Equation Group发动的所有攻击中,Fanny蠕虫攻击仍然十分突出。该恶意软件使用了一种独特的基于USB的命令和控制机制,允许攻击者向与外界不安全网络隔离的安全网络中来回传送数据。
此外,攻击者还会使用包含一个隐藏区域的受感染U盘,从未联网的计算机上收集基础系统信息。当该U盘被插入到被Fanny感染的联网计算机上时,Fanny蠕虫会将收集到的系统信息发送至命令和控制中心。如果攻击者想要在与外界不安全网络隔离的安全网络中执行命令,可以将这些命令存储在U盘的隐藏区域。当U盘被插入到安全网络中的计算机上时,Fanny会识别出并执行这些命令。
除了上述特征外,攻击者还使用了多种常用手段感染目标,包括网络和物理手段。为了通过物理手段进行感染,攻击者会截获实物,然后利用木马版本文件替换其中内容。例如,在休斯敦举办的一场科学研讨会中,有些参会人员在离开时,会收到一张包含会议内容的光盘。Equation Group正是利用这些光盘在受攻击者的计算机上植入DoubleFantasy恶意软件。
根据卡巴斯基实验室的研究发现,Equation Group在其开发的恶意软件中使用了7种漏洞利用程序。其中至少有4种为零日漏洞。此外,还发现他们使用了未知的漏洞利用程序,很可能是零日漏洞,用于攻击Tor浏览器使用的Firefox 17。
目前,卡巴斯基实验室针对家庭和企业用户的产品能够检测并成功拦截上述恶意软件。这得益于卡巴斯基实验室强大的自动漏洞入侵防护技术。该技术能够检测和拦截利用未知漏洞的攻击。根据推测,Fanny蠕虫应该编写于2008年7月,而卡巴斯基实验室的自动拦截系统早在2008年12月就已经能够检测和拦截这款恶意软件。
