Equation APT

Durante la conferencia del SAS, el GreAt Team de Kasperky ha dado a conocer el ataque más sofisticado hasta la fecha.
El grupo lleva activo durante mas de dos décadas, a nivel de sofisticación este APT se asemeja a otro que habíamos visto con anterioridad, Regin.
El grupo responsable del ataque recibe este nombre por los tipos de cifrado empleados durante la campaña, el grupo utilizó RC5, RC6 y AES en sus distintas plataformas.

En la campaña se ha visto el uso de del mismo loader que se había visto anteriormente con el malware Gauss.

Módulos  de malware

La plataforma usada por el grupo Equation, se trata de una plataforma compleja y que posee varios módulos con diferentes características cada uno de ellos.
Algunos de los módulos inciden directamente en el sistema operativo y otros como plataforma de ataque. Un resumen de cada uno de ellos extraído del report de Kaspersky:


EquationDRUG

Una plataforma de ataque muy compleja usada por el grupo Equation. Tiene características como las de un plugin para ser activado o desactivado de forma dinámica.

La plataforma de ataque fue desarrollada entre 2003 y 2013, en una primera instancia, nadie podía infectarse con EquationDRUG directamente. El proceso de infección quedaría de la siguiente forma:


Estaba diseñado para infectar sistemas XP/2003. Los sistemas más “modernos” como Windows 7 eran infectados con otro módulo, Grayfish.

DoubleFANTASY

Una especie de dropper, que se encarga de validar si la víctima que ha infectado es la adecuada. Una vez se confirma, descarga una pieza de malware mucho más sofisticada. (EquationDRUG o Grayfish)
Una vez infectada la víctima, DoubleFantasy usaba en su configuración interna, direcciones de webs legítimas para comprobar el acceso a internet.
A nivel de infraestructura si se están vigilando a nivel de Whitelist los accesos a Internet, estas conexiones no serían detectadas por ningún sistema tipo proxy.

Webs para checkear la conexión a Internet
TripleFANTASY

Backdoor usado en combinación con Grayfish, al parecer es la actualización de DoubleFantasy

Equestre: 

Misma funcionalidad que EquationDRUG

Grayfish

La pieza de malware más sofisticada usada por el grupo. Reside completamente en el registro y se basa en la filosofía de un Bootkit para permanecer residente en el sistema.
Este malware es compatible con todas las versiones de sistema operativo, desde Windows NT, hasta Windows 8, tanto en arquitectura 32 como 64 Bits.

La arquitectura de Grayfish, es de la siguiente forma:

Arquitectura Grayfish
Grayfish, incluye el bootkit más sofisticado usado hasta ahora, esto da a entender la gran calidad técnica que había detrás de este desarrollo.
La infección en modo bootkit, de Grayfish, pasa por varias etapas. Cada etapa descodifica la siguiente, y así, hasta arrancar el sistema operativo.
Si ocurre algún error en ese proceso, Grayfish, se autodestruye .
En una imagen, el proceso de arranque quedaría de la siguiente forma:

Grayfish boot stages


Un sistema de arranque, muy complejo.

Para almacenar la información Grayfish usa los VFS (Virtual File System)

Fanny

Un gusano informático creado en 2008 y se utiliza para recopilar información sobre objetivos en el Medio Oriente y Asia. Algunas de las víctimas parecen haber sido actualizados primero a DoubleFantasy, y luego al sistema EquationDRUG.

Importante destacar que  Fanny usaba dos exploits 0day que más tarde fueron descubiertos en la campaña de Stuxnet. Es decir, que este grupo tenía acceso a estos dos 0day, antes que el grupo de Stuxnet.
Para recordar, usaba los dos exploits 0day (LNK y escalada de privilegios.)

Fanny se distribuía mediante USB, una vez que conseguía infectar el USB, creaba una unidad oculta en el mismo. Si se conectaba a una máquina sin conexión a internet, sólo recogía información sobre la máquina, si por el contrario, se conectaba a una máquina con conexión a Internet, este sacaba los datos del área oculta y lo enviaba a su C&C.

EquationLASER

Malware usados en el periodo 2001-2004, compatible con Windows95/Windows98 y creados entre EquationDRUG y DoubleFantasy

Una imagen de cómo están los componentes relacionados entre sí:

Relación entre módulos


Exploits utilizados por el grupo Equation

Los CVE explotados en las campañas del grupo son:

MS09-025
MS12-034
MS13-081
CVE-2010-2568
CVE-2013-3918
CVE-2012-1723
CVE-2012-4681

Varios de estos exploits son 0day usados por el grupo Equation en la campaña. 
Como dato interesante, CVE’s como CVE-2013-3918, fueron usados en la campaña Aurora.

 Vectores de entrada

Según las investigaciones, las infecciones en la campaña fueron vía:

CD-ROM
Infección por gusano
Exploits kits
USB

En el caso de la infección de los CD-ROM, el grupo interceptaba las mercancías y los substituía por CD troyanizados.

Ataque con un nivel muy alto de sofisticación

El ataque realizado por el grupo Equation, ha sido catalogado como el más sofisticado por el hecho de infectar el firmware de los discos duros.

La infección del firmware del disco duro, daba lugar a una reprogramación del mismo, lo que otorgaba una extrema supervivencia dentro del sistema, además de permanecer oculto a nivel de sistema. Grayfish, era capaz de reprogramar el firmware de los fabricantes

“Maxtor”, “Maxtor STM”
“ST”, “Maxtor STM”, <Seagate Technology>
“WDC WD”, <Western Digital Technologies, Inc>
“SAMSUNG”, <SAMSUNG ELECTRONICS CO. LTD>
“WDC WD”, <Western Digital Technologies, Inc> additional vendor specific
<Seagate Technology>

Zonas afectadas

Los países afectados por esta campaña son:

Iran, Russia, Syria, Afghanistan, Kazakhstan, Belgium, Somalia, Hong Kong, Libya, United Arab Emirates, Iraq, Nigeria, Ecuador, Mexico, Malaysia, United States, Sudan, Lebanon, Palestine, France, Germany, Singapore, Qatar, Pakistan, Yemen, Mali, Switzerland, Bangladesh, South Africa, Philippines, United Kingdom, India and Brazil.

Víctimas del ataque

Instituciones afectadas

  • Telecomunicaciones
  • Aeroespacial
  • Energía
  • Investigación Nuclear
  • Petróleo y gas
  • Militares
  • Nanotecnología
  • activistas y eruditos islámicos
  • Los medios de comunicación
  • Transporte
  • Las instituciones financieras
  • Empresas que desarrollan tecnologías criptográficas


El informe realizado por Karpersky lo podemos obtener de aquí

0 comentarios:

Publicar un comentario