#EquationGroup | #Hackers en serio… nada de ciencia ficción

A comienzos de esta semana Kaspersky Labs, una de las principales empresas de detección y prevención de virus informáticos, sacó a la luz los resultados de años de investigación: un ecosistema de virus y gusanos informáticos creados por lo que ellos consideran es el grupo de hackers más avanzado que se ha visto: el Equation group.

Personalmente les recomiendo leer en detalle el PDF publicado por Kaspersky Labs, hasta la página 31 al menos. El documento está en inglés pero provee muchos más detalles de los que voy a proporcionar debajo, que solo es un burdo resumen que no le hace justicia al documento original.

Las pruebas indican que el Equation group existe al menos desde el año 2001. Incluso suponen que ya podría existir en el año 1996. Todos los malwares del Equation group se encuentran encriptados, lo que los protege de ser detectados. Si bien todos los malwares identificados hasta el momento (algunos de ellos detallados debajo) afectan solo a plataformas Microsoft Windows, se han encontrado indicios de que el Equation group también habría podido llegar a infectar equipos iOS y Mac OS.

El Equation group es el responsable de la creación y distribución de un ecosistema de virus y gusanos informáticos, entre los que encontramos:

  • EQUATIONDRUG: Al parecer se trata de un upgrade de un malware previo llamado EquationLaser, y tiene por objetivo permitir el control completo del sistema operativo atacado. EquationDrug soporta al menos 35 plugins y 18 drives para tal fin. Este malware solo afecta versiones antiguas de Windows (95/98/XP/2003). Para las versiones más recientes fue reemplazado por GrayFish (en conjunto con TripleFantasy)
  • DOUBLEFANTASY: Este malware tiene por objetivo abrir un backdoor en la computadora infectada, e identificar si el propietario de la computadora es potencialmente “interesante” y merece ser espiado. En caso afirmativo a través del backdoor se instalan EquationDrug o GrayFish. DoubleFantasy solo funciona conjuntamente con EquationDrug en versiones antiguas de Windows. Para las versiones más recientes fue reemplazado por TripleFantasy.
  • TRIPLEFANTASY: Se trata de una versión mejorada de DoubleFantasy que admite ser ejecutada en versiones recientes de Windows
  • GRAYFISH: Este es el malware más avanzado y sofisticado del Equation group. Está diseñado para ser invisible a los anti-virus, y no solo incluye mecanismos de persistencia sino que además puede autodestruirse. GrayFish se almacena en el sector de booteo del disco rígido, lo que le permite cargase antes que el sistema operativo. Así es como puede luego interceptar las rutinas de carga y ejecución del sistema operativo en sí mismo, en el momento en que son invocadas. Y de este modo inyecta su propio código (sus propias instrucciones) on-the-fly, es decir: sobre la marcha. Es por esto que el sistema de archivos del sistema operativo infectado queda completamente limpio y no arroja resultados sospechosos al ser verificado por un anti-virus. Las instrucciones maliciosas fueron inyectadas al momento de la ejecución desde una capa que se encuentra por debajo de la capa del sistema operativo, haciéndolo (tal como se dijo anteriormente) invisible a los anti-virus
  • FANNY: se trata de un gusano que se almacena en sectores reservados de dispositivos removibles (CD/DVD-ROMs, USB drives, etc). El gusano puede además enviar información específica a través de Internet acerca de la computadora que ha infectado, y es lo suficientemente complejo como para poder enviar información de computadoras que NO tienen conexión a Internet. ¿Como lo hace? Guarda la información en el sector reservado del USB drive, y cuando el USB drive es conectado en una máquina que cuenta con una conexión a Internet, el gusano envía entonces la información de la primera computadora, junto con la de esta segunda computadora

 

¿Qué es lo más complejo que se ha visto hasta el momento del Equation group? En dos de sus malwares (EquationDrug y GrayFish) se han encontrado rutinas para la reprogramación del firmware de 12 diferentes tipos de discos rígidos de fabricantes como: Micron Technology, Samsung Electronics, Seagate Technology, Toshiba Corporation y Western Digital Technologies.

Este complejo código lo que hace es reemplazar el firmware del disco rígido, posibilitando así no solo tomar control del disco a nivel de hardware y por debajo del nivel del sistema operativo, sino además permitiendo almacenar información en los sectores reservados del disco rígido (que son aquellos que no se ven afectados incluso ante el formateo completo del disco).

El Equation group podría entonces (suponiendo que no lo ha hecho ya) hacer que el firmware modificado del disco rígido invoque a su vez al TripleFantasy, para que este por su parte permita a GrayFish tomar control del sistema operativo afectado.

¿Quiénes son las víctimas del Equation group? Hasta el momento se han identificado infecciones en más de 30 países, entre los que se encuentran: Iran, Rusia, Siria, Afganistan, Kazakhstan, Bélgica, Somalia, Hong Kong, Libia, Emiratos Árabes, Iraq, Nigeria, Ecuador, México, Malasia, Estados Unidos de Norteamérica, Sudán, Líbano, Palestina, Francia, Alemania, Singapur, Qatar, Pakistán, Yemen, Mali, Suiza, Bangladesh, Sudáfrica, Filipinas, Inglaterra, India y Brasil.

Añadir nuevo comentario

CAPTCHA
Marcá el cuadro de abajo para seguir.