Отчеты о целевых атаках (APT)

Equation: Звезда смерти Галактики Вредоносного ПО

 Equation group: questions and answers PDF (eng)

«Хьюстон, у нас проблема»

В один прекрасный солнечный день 2009 года Гжегож Бженчишчикевич1 прилетел в цветущий город Хьюстон, где открывалась престижная международная научная конференция. Будучи крупным специалистом в своей области, Гжегож давно привык к подобным поездкам. На протяжении следующих двух дней г-н Бженчишчикевич обменивался визитными карточками с другими ведущими исследователями и обсуждал с ними важные вопросы, какие обычно и обсуждают друг с другом ученые такого уровня (что это были за вопросы, простому человеку не понять). Но все хорошее заканчивается – завершилась и конференция. Гжегож Бженчишчикевич отправился домой, увозя с собой тезисы наиболее интересных докладов, представленных на этом важном форуме.

Некоторое время спустя, как принято на подобных мероприятиях, организаторы разослали всем участникам компакт-диск, содержащий множество прекрасных фотографий с конференции. Вставив компакт-диск в свой компьютер и начав просматривать слайд-шоу, Гжегож и понятия не имел о том, что стал жертвой могущественной организации, занимающейся кибершпионажем и только что заразившей его компьютер вредоносным кодом, применив при этом три эксплойта, два из которых были эксплойтами нулевого дня.

Свидание с «богом» кибершпионажа

Нет точных данных о том, когда группировка Equation2 начала свою деятельность. Наиболее ранние из известных нам вредоносных образцов были скомпилированы в 2002 году, однако домен их командного сервера был зарегистрирован в августе 2001 года. Домены других командных серверов, используемых группировкой Equation, были, судя по всему, зарегистрированы еще в 1996 году; это может означать, что группировка действует уже почти два десятилетия. Она много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства: Equation всегда получала доступ к эксплойтам нулевого дня раньше других групп.

Начиная с 2001 года группировка Equation сумела заразить по всему миру компьютеры тысяч, возможно даже десятков тысяч жертв, относящихся к следующим сферам деятельности:

  • правительственные и дипломатические учреждения;
  • телекоммуникации;
  • аэрокосмическая отрасль;
  • энергетика;
  • ядерные исследования;
  • нефтегазовая отрасль;
  • военные;
  • нанотехнологии;
  • исламские активисты и теологи;
  • СМИ;
  • транспорт;
  • финансовые организации;
  • компании, разрабатывающие технологии шифрования.

Для заражения жертв Equation применяет мощный арсенал «имплантов» (так они называют свои троянские программы), для которых мы придумали следующие имена: EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY и GRAYFISH. Несомненно, существуют и другие импланты, которые нам еще только предстоит обнаружить и назвать.

#EquationAPT взаимодействует с другими влиятельными группировками, например, #Stuxnet и #Flame #TheSAS2015

Tweet

Сама группировка использует множество внутренних кодовых слов для обозначения собственных инструментов и имплантов, таких как SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER и GROK. Как это ни удивительно для группировки столь высокого уровня, один из разработчиков совершил непростительную ошибку, оставив свое имя пользователя «RMGREE5» в одном из вредоносных образцов в названии рабочей папки: «c:usersrmgree5«.

Вероятно, наиболее мощный инструмент в арсенале группировки Equation – таинственный модуль, известный под именем «nls_933w.dll«. Этот модуль позволяет изменять встроенную микропрограмму (прошивку) жестких дисков двенадцати наиболее популярных производителей, в том числе Seagate, Western Digital, Toshiba, Maxtor, IBM и т.д. Это поразительное техническое достижение, позволяющее сделать выводы об уровне возможностей группы.

Модуль nls_933w.dll из арсенала #EquationAPT позволяет изменять прошивку жестких дисков #TheSAS2015

Tweet

За последние годы группировка Equation организовала множество различных атак. Одна из них выделяется на общем фоне – это червь Fanny. Вредоносная программа предположительно была скомпилирована в июле 2008 года, впервые она обнаружена и заблокирована нашими системами в декабре 2008 года. В Fanny были применены два эксплойта нулевого дня, которые были впоследствии обнаружены при изучении Stuxnet. Червь распространялся через USB флеш-накопители, используя тот же LNK-эксплойт, что и Stuxnet. Повышение привилегий Fanny в системе обеспечивалось за счет эксплуатации уязвимости, впоследствии закрытой патчем Microsoft MS09-025. Эта же уязвимость использовалась в одной из ранних версий Stuxnet, датируемой 2009 годом.

Equation_1

LNK-эксплойт, используемый Fanny

Важно подчеркнуть, что оба этих эксплойта были применены в Fanny до того, как они вошли в состав Stuxnet. Это говорит о том, что группировка Equation получила доступ к этим эксплойтам нулевого дня раньше, чем группировка Stuxnet. Главная задача, решаемая Fanny, – получение подробных сведений об изолированных сетях, отделенных от внешнего мира так называемым «воздушным барьером», то есть не подключенных к интернету. Для решения этой задачи червь использовал уникальный механизм офлайновой связи с командными серверами, основанный на применении USB-накопителей для передачи команд и данных между изолированными сетями и командным сервером, причем в обе стороны.

Группировка #EquationAPT применила два эксплойта нулевого дня до того, как они вошли в состав #Stuxnet #TheSAS2015

Tweet

В ближайшие дни мы опубликуем новые подробности о вредоносных программах группировки Equation и атаках, осуществленных этой группой. В первом документе серии будут даны ответы на часто задаваемые вопросы.

Публикуя эти данные, мы хотим пригласить к сотрудничеству компании, работающие в сфере информационной безопасности, а также независимых исследователей. Возможно, это позволит лучше понять механизм таких атак. Чем больше мы изучаем подобные кибершпионские операции, тем больше отдаем себе отчет в том, что в действительности мы очень мало о них знаем. Сообща мы сможем приподнять эту завесу тайны и сделать (кибер-)мир более безопасным.

 Equation group: questions and answers PDF (eng)

Индикаторы заражения («по одному для каждого»):

Name EquationLaser
MD5 752af597e6d9fd70396accc0b9013dbe
Type EquationLaser installer
Compiled Mon Oct 18 15:24:05 2004
Name Disk from Houston «autorun.exe» with EoP exploits
MD5 6fe6c03b938580ebf9b82f3b9cd4c4aa
Type EoP package and malware launcher
Compiled Wed Dec 23 15:37:33 2009
Name DoubleFantasy
MD5 2a12630ff976ba0994143ca93fecd17f
Type DoubleFantasy installer
Compiled Fri Apr 30 01:03:53 2010
Name EquationDrug
MD5 4556ce5eb007af1de5bd3b457f0b216d
Type EquationDrug installer («LUTEUSOBSTOS»)
Compiled Tue Dec 11 20:47:12 2007
Name GrayFish
MD5 9b1ca66aab784dc5f1dfe635d8f8a904
Type GrayFish installer
Compiled Compiled: Fri Feb 01 22:15:21 2008 (installer)
Name Fanny
MD5 0a209ac0de4ac033f31d6ba9191a8f7a
Type Fanny worm
Compiled Mon Jul 28 11:11:35 2008
Name TripleFantasy  
MD5 9180d5affe1e5df0717d7385e7f54386 loader (17920 bytes .DLL)
Type ba39212c5b58b97bfc9f5bc431170827 encrypted payload (.DAT)
Compiled various, possibly fake  
Name _SD_IP_CF.dll — unknown
MD5 03718676311de33dd0b8f4f18cffd488
Type DoubleFantasy installer + LNK exploit package
Compiled Fri Feb 13 10:50:23 2009
Name nls_933w.dll
MD5 11fb08b9126cdb4668b3f5135cf7a6c5
Type HDD reprogramming module
Compiled Tue Jun 15 20:23:37 2010
Name standalonegrok_2.1.1.1 / GROK
MD5 24a6ec8ebf9c0867ed1c097f4a653b8d
Type GROK keylogger
Compiled Tue Aug 09 03:26:22 2011

Командные серверы (домены и IP-адреса):

DoubleFantasy:

advancing-technology[.]com
avidnewssource[.]com
businessdealsblog[.]com
businessedgeadvance[.]com
charging-technology[.]com
computertechanalysis[.]com
config.getmyip[.]com — SINKHOLED BY KASPERSKY LAB
globalnetworkanalys[.]com
melding-technology[.]com
myhousetechnews[.]com — SINKHOLED BY KASPERSKY LAB
newsterminalvelocity[.]com — SINKHOLED BY KASPERSKY LAB
selective-business[.]com
slayinglance[.]com
successful-marketing-now[.]com — SINKHOLED BY KASPERSKY LAB
taking-technology[.]com
techasiamusicsvr[.]com — SINKHOLED BY KASPERSKY LAB
technicaldigitalreporting[.]com
timelywebsitehostesses[.]com
www.dt1blog[.]com
www.forboringbusinesses[.]com

EquationLaser:

lsassoc[.]com — re-registered, not malicious at the moment
gar-tech[.]com — SINKHOLED BY KASPERSKY LAB

Fanny:

webuysupplystore.mooo[.]com — SINKHOLED BY KASPERSKY LAB

EquationDrug:

newjunk4u[.]com
easyadvertonline[.]com
newip427.changeip[.]net — SINKHOLED BY KASPERSKY LAB
ad-servicestats[.]net — SINKHOLED BY KASPERSKY LAB
subad-server[.]com — SINKHOLED BY KASPERSKY LAB
ad-noise[.]net
ad-void[.]com
aynachatsrv[.]com
damavandkuh[.]com
fnlpic[.]com
monster-ads[.]net
nowruzbakher[.]com
sherkhundi[.]com
quik-serv[.]com
nickleplatedads[.]com
arabtechmessenger[.]net
amazinggreentechshop[.]com
foroushi[.]net
technicserv[.]com
goldadpremium[.]com
honarkhaneh[.]net
parskabab[.]com
technicupdate[.]com
technicads[.]com
customerscreensavers[.]com
darakht[.]com
ghalibaft[.]com
adservicestats[.]com
247adbiz[.]net — SINKHOLED BY KASPERSKY LAB
webbizwild[.]com
roshanavar[.]com
afkarehroshan[.]com
thesuperdeliciousnews[.]com
adsbizsimple[.]com
goodbizez[.]com
meevehdar[.]com
xlivehost[.]com
gar-tech[.]com — SINKHOLED BY KASPERSKY LAB
downloadmpplayer[.]com
honarkhabar[.]com
techsupportpwr[.]com
webbizwild[.]com
zhalehziba[.]com
serv-load[.]com
wangluoruanjian[.]com
islamicmarketing[.]net
noticiasftpsrv[.]com
coffeehausblog[.]com
platads[.]com
havakhosh[.]com
toofanshadid[.]com
bazandegan[.]com
sherkatkonandeh[.]com
mashinkhabar[.]com
quickupdateserv[.]com
rapidlyserv[.]com

GrayFish:

ad-noise[.]net
business-made-fun[.]com
businessdirectnessource[.]com
charmedno1[.]com
cribdare2no[.]com
dowelsobject[.]com
following-technology[.]com
forgotten-deals[.]com
functional-business[.]com
housedman[.]com
industry-deals[.]com
listennewsnetwork[.]com
phoneysoap[.]com
posed2shade[.]com
quik-serv[.]com
rehabretie[.]com
speedynewsclips[.]com
teatac4bath[.]com
unite3tubes[.]com
unwashedsound[.]com

TripleFantasy:

arm2pie[.]com
brittlefilet[.]com
cigape[.]net
crisptic01[.]net
fliteilex[.]com
itemagic[.]net
micraamber[.]net
mimicrice[.]com
rampagegramar[.]com
rubi4edit[.]com
rubiccrum[.]com
rubriccrumb[.]com
team4heat[.]net
tropiccritics[.]com

Серверы эксплойтов группировки Equation:

standardsandpraiserepurpose[.]com
suddenplot[.]com
technicalconsumerreports[.]com
technology-revealed[.]com

IP-адреса, в явном виде прописанные в блоках конфигурации вредоносных образцов:

149.12.71.2
190.242.96.212
190.60.202.4
195.128.235.227
195.128.235.231
195.128.235.233
195.128.235.235
195.81.34.67
202.95.84.33
203.150.231.49
203.150.231.73
210.81.52.120
212.61.54.239
41.222.35.70
62.216.152.67
64.76.82.52
80.77.4.3
81.31.34.175
81.31.36.174
81.31.38.163
81.31.38.166
84.233.205.99
85.112.1.83
87.255.38.2
89.18.177.3

Вердикты, выдаваемые продуктами «Лаборатории Касперского»:

  • Backdoor.Win32.Laserv
  • Backdoor.Win32.Laserv.b
  • Exploit.Java.CVE-2012-1723.ad
  • HEUR:Exploit.Java.CVE-2012-1723.gen
  • HEUR:Exploit.Java.Generic
  • HEUR:Trojan.Java.Generic
  • HEUR:Trojan.Win32.DoubleFantasy.gen
  • HEUR:Trojan.Win32.EquationDrug.gen
  • HEUR:Trojan.Win32.Generic
  • HEUR:Trojan.Win32.GrayFish.gen
  • HEUR:Trojan.Win32.TripleFantasy.gen
  • Rootkit.Boot.Grayfish.a
  • Trojan-Downloader.Win32.Agent.bjqt
  • Trojan.Boot.Grayfish.a
  • Trojan.Win32.Agent.ajkoe
  • Trojan.Win32.Agent.iedc
  • Trojan.Win32.Agent2.jmk
  • Trojan.Win32.Diple.fzbb
  • Trojan.Win32.DoubleFantasy.a
  • Trojan.Win32.DoubleFantasy.gen
  • Trojan.Win32.EquationDrug.b
  • Trojan.Win32.EquationDrug.c
  • Trojan.Win32.EquationDrug.d
  • Trojan.Win32.EquationDrug.e
  • Trojan.Win32.EquationDrug.f
  • Trojan.Win32.EquationDrug.g
  • Trojan.Win32.EquationDrug.h
  • Trojan.Win32.EquationDrug.i
  • Trojan.Win32.EquationDrug.j
  • Trojan.Win32.EquationDrug.k
  • Trojan.Win32.EquationLaser.a
  • Trojan.Win32.EquationLaser.c
  • Trojan.Win32.EquationLaser.d
  • Trojan.Win32.Genome.agegx
  • Trojan.Win32.Genome.akyzh
  • Trojan.Win32.Genome.ammqt
  • Trojan.Win32.Genome.dyvi
  • Trojan.Win32.Genome.ihcl
  • Trojan.Win32.Patched.kc
  • Trojan.Win64.EquationDrug.a
  • Trojan.Win64.EquationDrug.b
  • Trojan.Win64.Rozena.rpcs
  • Worm.Win32.AutoRun.wzs

Правила Yara:

 

1 псевдоним, необходимый для защиты тайны частной жизни жертвы >>
2 имя Equation («уравнение») было дано группировке из-за ее любви к сложным схемам шифрования >>

Equation: Звезда смерти Галактики Вредоносного ПО

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике