Лаборатория Касперского раскрыла беспрецедентную кибер-кампанию АНБ США
Научно-исследовательская группа «Лаборатории Касперского» GReAT доложила о раскрытии опаснейшей схемы компьютерного шпионажа. В ней использованы самые современные и изощренные инструменты, включая вредоносный модуль, изменяющий прошивку жесткого диска, и прослушивание компьютерных сетей. Косвенные данные указывают на то, что данная схема работает под контролем Агентства национальной безопасности США.
На конференции, состоявшейся 16 февраля 2015 года в Мексике, GReAT представила отчет о раскрытой ей грандиозной кампании по компьютерному шпионажу. Автор этой сети – хакерская группа Equation. Доказано, что она работала уже в 2001 году. Но не исключено, что Equation была сформирована на пять лет раньше этого срока.
Представители «Лаборатории Касперского» прямо не указали, какой стране принадлежит Equation. Но они представили доказательства ее связи с червем Stuxnet. Известно, что этот червь был запущен АНБ США для организации атаки на объекты ядерной программы Ирана.
Дополнительные косвенные подтверждения причастности США к Equation можно найти в документах, рассекреченных Сноуденом. Некоторых из них свидетельствуют, что Агентство национальной безопасности США проводит работы для доминирования в киберпространстве. В случае серьезного конфликта оно сможет вывести из строя компьютеры противника и связанную с ними инфраструктуру.
В сети Equation попало 30 стран. В их числе Россия, Иран, Пакистан, Китай, и другие. Существует строгий отбор жертв хакерского вторжения. Установлено, что в первую очередь под полный удаленный контроль брались компьютеры дипломатических представительств и правительственных учреждений, телекоммуникационных и аэрокосмических организаций, энергетических и военных объектов, институтов, занимающихся ядерными исследованиями и нанотехнологиями, а также финансовых и некоторых других учреждений.
Как Equation берет компьютеры под свой контроль?
Наиболее изощренным инструментом Equation является модуль nls_933w.dll. Он предназначен для изменения прошивки жесткого диска и доступа к некоторым скрытым секторам. «Лаборатория Касперского» установила, что данный модуль способен поражать жесткие диски 12 производителей, включая Western Digital, Seagate, Toshiba, Maxtor, IBM и других. Western Digital, Seagate и Micron уже заявили, что не сотрудничали с АНБ в этом направлении, а Toshiba, Samsung и IBM предпочли воздержаться от комментариев.
Следует сказать, что благодаря внедрению вредоносного ПО в прошивку жесткого диска, его нельзя обнаружить с помощью антивирусных программ. Оно не поддается удалению посредством переустановки операционной системы или полного форматирования жесткого диска. Equation использовала nls_933w.dll относительно редко – только на «важных» компьютерах.
Другие модули хакерской группы способны находить и копировать ключи шифрования, что открывает легкий доступ к зашифрованным данным. Кроме того, у нее были инструменты для копирования данных с компьютеров, не подключенных к сети. Файлы могли переноситься на флешках, тайно копируясь туда за счет ряда уязвимостей.
Подсчеты GReAT показали, что ежемесячно под контроль Equation попадает около 2 тысяч компьютеров. Вероятно, многие из них «отпадают», как не представляющие особого интереса. По наблюдениям «Лаборатории Касперского» модули Equation обнаружены только на компьютерах с операционной системой Microsoft Windows. Однако есть признаки того, что деятельность хакерской группы затрагивает и Mac OS X.
Каковы признаки попадания компьютера под контроль Equation?
GReAT подчеркивает, что Equation – это группа скрытных высокопрофессиональных хакеров, способных хорошо «заметать следы». Но представители «Лаборатории Касперского» назвали несколько признаков, которые могут указывать на заражение. Среди этих признаков – наличие в программных модулях таких ключевых слов, как:
- SKYHOOKCHOW
- prkMtx
- SF в таких сочетаниях, как SFInstall или SFConfig
- UR – URInstall
- implant
- STEALTHFIGHTER
- DRINKPARSLEY
- STRAITACID
- LUTEUSOBSTOS
- STRAITSHOOTER (STRAITSHOOTER30.exe)
- DESERTWINTER (c:desert~2desert~3objfre_w2K_x86i386DesertWinterDriver.pdb)
- GROK (standalonegrok_2.1.1.1)
- RMGREE5 (c:usersrmgree5…)
Впрочем, если ваш компьютер используется только для игр, просмотра фильмов, общения в социальных сетях и другой безобидной для США деятельности, то он вряд ли заинтересует хакеров из Equation.
Таким образом, «Лаборатория Касперского» нанесла еще один серьезный удар по репутации Агентства национальной безопасности США. Многое о том, какими «темными делишками» занимается эта правительственная служба, мы узнали из документов, обнародованных Эдвардом Сноуденом.
А вы боитесь АНБ США? Жду ваши мысли по этому поводу в комментариях.
С отчетом GReAT о группе Equation можно познакомиться здесь [англ. яз.]
