Amerykański wywiad od wielu lat wykrada dane przemysłowe i wojskowe

Firma Kaspersky zajmująca się bezpieczeństwem komputerowym opublikowała bardzo ciekawy raport, pokazujący możliwości działającej od wielu lat grupy Equation Group. Włamywacze ci cechują się wykorzystywaniem nad wyraz zaawansowanych i wyrafinowanych technik włamań, a ich celem najczęściej są instytucje przemysłowe. Wiele wskazuje na to, że jest to zbrojne ramię Agencji Bezpieczeństwa Narodowego (NSA) Stanów Zjednoczonych.

Raport jest dosyć obszerny i opisuje zarówno środki wykorzystywane przez grupę jak i informacje o rozwoju jej działalności, jakie udało się uzyskać. Pierwszy stworzony przez nią szkodnik wszedł do użycia w 2001 roku, ale posiadała ona serwery już w 1996, co wskazywałoby na jedną z najdłużej działających grup. Nazwa nie jest przypadkowa – pracownicy ochrzcili ją taką nazwą, ponieważ włamywacze po prostu uwielbiają najróżniejsze metody zaciemniania kodu, a także szyfrowania. Do ataków wykorzystują kilka typów zagrożeń i własne platformy np. backdoory, bootkit zapisywany i zaszyfrowany w rejestrze systemowym, a także robaka dostarczającego informacje o celach w Azji i na Środkowym Wschodzie.

Infekcje przeprowadzano zarówno poprzez strony internetowe z wstrzykniętym złośliwym kodem, nośniki takie jak płyty CD lub DVD - jeden z przypadków dotyczy naukowców, którzy w 2009 roku dostali płyty zawierające rzekomo zdjęcia z konferencji na której byli, a które posiadały zaszyte szkodliwe oprogramowanie – pamięci USB, a także rozprzestrzeniające się przez sieć robaki. Ewenementem jest natomiast atak na firmware dysków twardych znanych producentów: dzięki niemu szkodniki są w stanie przeprogramować wewnętrzne oprogramowanie dysku, a następnie ukryć się w niewidocznych sektorach. W efekcie są niewidoczne dla oprogramowania, a przeinstalowanie systemu, lub formatowanie dysku w żaden sposób nie wpływa na nie. Według specjalistów z Kaspersky'ego tego typu atak to „cud programistyczny”: konieczne było stosowanie inżynierii wstecznej przez bardzo doświadczone osoby.

Atak ten pokazuje również, że zamknięte, nieudokumentowane firmware to potencjalne luki bezpieczeństwa. Warto wspomnieć, że sprawa dotyczy nie tylko HDD (np. WD, Samsung, HGST, Seagate), ale także dysków SSD (np. Micron, Toshiba, OCZ) – w wielu przypadkach trudno więc zaufać w np. zapewnienia producentów o automatycznie szyfrowanych danych, skoro szkodnik może przejąć władze nad kontrolerem dysku. Szkodniki tworzone przez Equation Group atakowały jak do tej pory w ponad 40 krajach na całym świecie m.in. Niemcy, Francja, Szwajcaria, Iran, Rosja. Ich ofiarami są rządy i instytucje dyplomatyczne, sektor telekomunikacyjny, przemysł kosmiczny, energetyka, wojsko, organizacje proislamskie, instytucje finansowe, a także firmy zajmujące się tworzeniem rozwiązań kryptograficznych. Komuś wyraźnie zależy więc na tym, aby poznawać nowe sposoby na ochronę danych przez wzrokiem osób niepowołanych.

Choć wszystkie wykryte do tej pory zagrożenia uderzają w system Windows, istnieją ślady pozwalające twierdzić, że grupa posiada malware także dla iOS i OS X. O jej zaawansowaniu świadczyć może również używanie wielu zmodyfikowanych wersji algorytmów RC5 i RC6. Niektóre przypadki przypominają pod względem rozprzestrzeniania i działanie takie zagrożenia jak Stuxnet i Flame. Celem nie są więc zwykli użytkownicy i ich prywatne dane, ale informacje przemysłowe mające strategiczne znaczenia. Obecnie wiadomo, że grupa dysponuje ponad 300 domenami i ponad setką serwerów w różnych krajach na całym świecie. Sposoby działania i wymagane do tego celu fundusze pozwalają uważać, że nie jest to jakaś, nawet nieco większa grupa działająca samodzielnie.

Autorzy raportu sugerują, że choć w kodzie szkodników znajdują się elementy wskazujące na chińskie pochodzenie, za jej powstaniem najprawdopodobniej stoi amerykańskie NSA, co nie byłoby zresztą niczym dziwnym. Byli pracownicy tej agencji potwierdzili, że prowadzono prace nad rozwiązaniami opisywanymi w raporcie Kasperskyego. Oficjalne stanowisko NSA w tej sprawie jest jasne: organizacja nie chce tego komentować, zasłania się dyrektywami prezydenckimi, a także walką z terrorystami zagrażającymi tak USA jak i krajom sojuszniczym.