Эксперты «Лаборатории Касперского» сообщили об обнаружении группы Equation, следы деятельности которой прослеживаются вплоть до 2001 года. Группа использует несколько вредоносных платформ, более совершенных и продвинутых, чем даже знаменитая Regin. Свое название группа получила за пристрастие к обфускации и криптографии: она использует алгоритмы RC4, RC5, RC6 и AES, а также несколько других криптографических и хэш-функций.

Исследователям удалось выявить большое семейство вредоносных платформ, применявшихся Equation в разные периоды деятельности. Одной из необычных особенностей группы является использование специальных платформ-валидаторов, зловредов, чьи функции сводятся к точной идентификации жертвы. Дальнейшие стадии атаки активируются только в том случае, если валидатор подтверждает, что зараженный компьютер является намеченной жертвой.

Основная шпионская платформа EquationDrug (внутреннее обозначение «Лаборатории Касперского») разработана для получения полного контроля над системой жертвы. Ее функциональность может быть расширена за счет различных плагинов, всего исследователям удалось обнаружить 35 различных плагинов для EquationDrug и 18 драйверов.

Семейство зловредов Equation также включает компьютерного червя Fanny, который использует необычный механизм распространения посредством USB-накопителей и предназначен, по всей видимости, для сбора информации о сетях, не имеющих выхода в Интернет и расположенных на Среднем Востоке и в Азии.

При подключении зараженного накопителя к компьютеру червь заражает его посредством эксплойтов, собирает информацию о системе и сохраняет его в скрытой области накопителя. Как только накопитель оказывается подключен к компьютеру, имеющему выход в Интернет, червь отправляет всю собранную информацию на сервер управления и контроля. Также имеется и обратный механизм передачи зараженным компьютерам команд от сервера управления и контроля посредством зараженного USB-накопителя.

Эксперты отметили важную особенность Fanny — для заражения системы червь применяет те же уязвимости, что и ранние версии Stuxnet, причем он применял их раньше, чем они появились в Stuxnet. Схожее использование эксплойтов в различных вредоносных программах примерно в одно и то же время может являться признаком того, что группа Equation и разработчики Stuxnet являются одними и теми же лицами либо тесно сотрудничают.

Еще одной крайне необычной способностью Equation является функция перепрограммирования прошивки жесткого диска или твердотельного накопителя для получения доступа к скрытым секторам. Это позволяет зловредам группы сохраняться на компьютере даже после переформатирования накопителя или переустановки операционной системы.

Исследователям пока не удалось определить, кто стоит за группой Equation, есть лишь косвенные указания в виде ключевых слов, выявленных при анализе модулей: SKYHOOKCHOW, prkMtx, SF, UR, URInstall, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER, GROK, RMGREE5.

Группа действует крайне аккуратно, поражая тщательно отобранные цели. «Лаборатории Касперского» удалось захватить один из серверов управления и контроля Equation, что в сочетании с информацией из KSN позволило насчитать более 500 жертв группы более чем в 30 странах. Были найдены зараженные сервера, доменные контроллеры, хранилища данных, хостинги сайтов и другие типы серверов. При этом заражение Equation имеет механизм самоуничтожения, а это значит, что число жертв группы может достигать десятков тысяч. Также эксперты обнаружили, что некоторые машины, на которых были обнаружены первые сэмплы Stuxnet, также были заражены Equation, это позволяет предложить, что зловред Equation применялся для доставки Stuxnet.

Большинство обнаруженных жертв Equation относятся к следующим категориям: правительственные и дипломатические организации, телекоммуникационные, аэрокосмические, энергетические, нефтегазовые, транспортные, финансовые, военно-промышленные и нанотехнологические компании, исламские активисты и ученые, средства массовой информации, компании, специализирующиеся на ядерной физике, и разработчики криптографических технологий.

Категории: Вредоносные программы, Главное, Хакеры