Utajované dokumenty, ktoré v roku 2013 zverejnil bývalý zamestnanec americkej Národnej bezpečnostnej agentúry (NSA) Edward Snowden, odhalili nielen jej celosvetovú špionáž, rôzne programy a hekerské nástroje, ale aj možné spojenie s hekerskou skupinou a jedným neslávne známym malvérom.
Experti z Kaspersky Lab majú v otázke Equation Group jasno. Podľa nich ide o „zrejme jedno z najsofistikovanejších zoskupení kyberútočníkov na svete a najpokročilejšiu hrozbu, akú sme kedy videli“. Komplexnosťou a dômyselnosťou nástrojov vie predčiť aj svojich konkurentov a dĺžkou praxe patrí ku skúsenejším aktérom, ktorí začali svoju činnosť niekedy na prelome milénia.
Názov „Equation“ (rovnica) pritom nedostala náhodou. Skupina má veľkú záľubu v kryptografii a maskovacích technikách, ktoré využíva pri svojich útokoch. K najpoužívanejším algoritmom patrí RC4, RC5, RC6, AES a SHA-256.
Nástroje a modus operandi
Dokonalým príkladom takéhoto postupu je malvér GrayFish, ktorý využije SHA-256 tisíckrát na výpočet hashu (odtlačku) unikátneho identifikátora systémovej zložky. Tento reťazec písmen a číslic následne použije ako kľúč na dešifrovanie a spustenie vlastného kódu, ktorý bol zašifrovaný algoritmom AES. Celý proces má viac vrstiev, pričom v každej sa nachádza kľúč na odomknutie tej ďalšej. Ak dôjde čo i len k jednej chybe, malvér sa sám zničí. Znie to komplikovane? To ešte nie je všetko.
GrayFish spolu so svojim predchodcom EQUATIONDRUG vynikajú schopnosťou priamo infikovať a preprogramovať firmvér harddisku a vytvoriť si zo skrytých sektorov vlastné úložisko. Vďaka tomu sa stanú de facto neodstrániteľnými – nepomôže ani formátovanie HDD. Ich jednotlivé pluginy boli prispôsobené pre zariadenia od výrobcov Maxtor, Seagate, Western Digital, Samsung alebo Toshiba.
Jeden takýto prípad nastal v roku 2009 po medzinárodnej vedeckej konferencii v americkom Houstone. Vedcom, ktorí sa jej zúčastnili, boli tradične po podujatí rozoslané CD s prezentáciami a fotografiami z akcie. Nikto z nich však netušil, že po vložení CD do počítača sa spustí súbor autorun.exe, ktorý nainštaloval backdoor DoubleFantasy a rozšíril jeho práva. Práve DoubleFantasy slúžil k stiahnutiu GrayFish alebo EQUATIONDRUG do počítača obete. Ich cieľom bolo potom získať úplnú kontrolu nad počítačom.
Našťastie, experti z Kaspersky Lab neobjavili veľa ďalších takýchto prípadov. Dá sa preto predpokladať, že takéto útoky si hekeri šetria skôr pre špeciálne obete, ktoré sa nedajú tak ľahko nakaziť. Na bežné ciele využívala Equation Group rôzne zraniteľnosti na webstránkach.
Otec Stuxnetu
Práve webstránky boli hlavným zdrojom, kde sa obeť prvotne infikovala červom menom Fanny. Na prvý pohľad vyzerá neškodne. Zhromažďuje informácie o verzii operačného systému, názve počítača a užívateľského konta alebo o zapnutých procesoch. Čo ho teda spája so Stuxnetom?
Fanny bol objavený v roku 2014. Výskumníci z Kaspersky Lab naňho narazili vcelku náhodou, keď analyzovali knižnicu PrivLib, ktorú Equation Group využívala pri útokoch na cudzie počítače. Analýzou v nej nechctiac aktivovali červa, ktorý sa následne snažil zreprodukovať vďaka zraniteľnosti v LNK (odkaz na súbor). Presne túto zraniteľnosť využíval aj známy malvér Stuxnet, ktorý v roku 2009 napadol jadrový komplex v iránskom Natanze. Podľa expertov bola táto „zbraň” dielom Spojených štátov a Izraela.
Na zdieľaní tejto zraniteľnosti by nebolo nič zvláštne, keby sa preskúmaním nakazeného súboru fanny.bmp ďalej nezistilo, že bol skompilovaný v roku 2008 – teda ešte predtým, než bol vo svete nasadený Stuxnet. Fanny tiež využíval aj ďalšiu zraniteľnosť nultého dňa pred Stuxnetom.
Červ bol naprogramovaný tak, aby dokázal prekonať takzvanú vzduchovú medzeru (air-gap), a teda preniknúť do izolovanej siete. S takouto „medzerou“ sa dá stretnúť najmä vo vysoko zabezpečených objektoch. Rovnako ako Stuxnet, aj Fanny preto napádal USB kľúče, ktoré mohli byť do takýchto objektov vnesené. Po nakazení počítača sa malvér snažil nadviazať kontakt s riadiacim serverom útočníkov, odkiaľ si vyžiadal ďalšie komponenty. Pokiaľ sa to nepodarilo, Fanny využil skryté úložisko na USB ako svojho posla na odosielanie a prijímanie požiadaviek pri najbližšom kontakte „s vonkajším svetom“.
Využitie rovnakých zraniteľností a podobné správanie malvérov viedlo expertov z Kaspersky Lab k záveru, že vývojári z Equation Group a vývojári Stuxnetu sú buď jedni a tí istí, alebo spolu úzko spolupracovali.
Snowdenove dokumenty
Prípad Edwarda Snowdena pozná takmer každý – bývalý zamestnanec NSA vyniesol prísne tajné dokumenty a zverejnil ich v štyroch celosvetovo uznávaných médiách. Menej známe je však to, ako tieto dokumenty spojili NSA s Equation Group a Stuxnetom.
Hlavnú rolu v tomto prípade zohráva nástroj, alebo skôr celá platforma EQUATIONDRUG, ktorá bola schopná potencionálne poňať až stovku rôznych pluginov. Pri jej analýze sa experti z Kaspersky Lab zamerali na samotný zdrojový kód, v ktorom hľadali unikátne identifikátory a kódové označenia. Z kódu sa im podarilo extrahovať hneď niekoľko reťazcov, ktoré sa nápadne podobali na názvy nástrojov opísaných v Snowdenových dokumentoch.
Tak napríklad, názvy STRAITSHOOTER a STRAITACID z kódu nesú rovnakú „predponu“ ako STAITLACED a STRAITBIZZARE zo zverejnených dokumentov na nemeckom Der Spiegel. Spolu so STRAITLACED sú v dokumente spomenuté nástroje LUTEUSASTRO, SKYJACKBRAD a DRINKMINT, ktorých náprotivky z platformy EQUATIONDRUG sa volajú LUTEUSOBSTO, SKYHOOKCHOW a DRINKPARSLEY. Našli sa dokonca aj nástroje, ktoré nesú zhodné meno spomenuté v oboch správach. Nazývajú sa BACKSNARF a Grok.
V neposlednom rade je tu tiež nástroj IRATEMONK, ktorý mal podľa plánu „vytvoriť skryté úložisko, ktoré sa aktivovalo modifikáciou HDD firmvéru“. Princíp spočíval v tom, aby po úprave firmvér dokázal rozpoznať len určitú časť z celého úložiska a toto tajné úložisko spravoval cez špeciálne ATA príkazy. Pokiaľ sa vám to zdá povedomé, je to tým, že na rovnakom princípe funguje GrayFish od Equation Group. Ukážku takýchto ATA príkazov možno nájsť v správe od Kaspersky Lab po rozkliknutí odkazu v úvode článku.
Dokumenty odhaľujú aj ďalšie zaujímavé informácie a praktiky NSA. Nástroje mali vyvinúť technici z jednotky Advanced Network Technology (ANT) „na zákazku“ pre jednotku Tailored Access Operations (TAO). NSA tiež podľa všetkého rada napáda reťazec dodávateľov. Pokiaľ si vytypovaná obeť objednala nejaké zariadenie do počítačovej siete, pracovníci TAO zásielku odchytili a implantovali do nej sledovacie zariadenie, ktoré im po zapojení preposielalo informácie. Takýmto spôsobom mali údajne nakaziť sýrsku telekomunikačnú spoločnosť. Jednotka si tiež spravila vlastný výskum ohľadom čínskej APT Comment Crew.
O Comment Crew vyšiel samostatný článok Ako Čínska ľudová (kyber)armáda vyzbrojila svoje jednotky.
Ticho
Od Snowdena a reportu Kaspersky Lab nie je o Equation Group veľmi počuť. Posledné správy sa týkajú nového zoskupenia hekerov z Shadow Brokers, ktorí podľa všetkého ukradli skupine nástroje a v rokoch 2016 a 2017 ich začali dražiť a následne zverejňovať na internete. Pravosť niektorých z nich potvrdili Cisco, Microsoft aj Kaspersky. Budúcnosť Equation Group však nateraz ostáva veľkou záhadou.
Alternatívne názvy | Equation Group, EQGRP, Housefly |
Prisudzované | jednotka TAO americkej Národnej bezpečnostnej agentúry (NSA) |
Trvanie | 2001 – nie je známe |
Obete | vlády, výskumné centrá, energetický a letecký priemysel, telekomunikačné služby prevažne z Ázie a severnej Afriky |
(VK)