Equation Group razvil hujše metode kot Stuxnet
Matej Huš
17. feb 2015 ob 19:20:30
Svoj čas je bil Stuxnet, za katerega se je izkazalo, da je del operacije Olympic Games, ki so jo varnostno-obveščevalne agencije ZDA in Izraela vodile proti Iranu z namenom sabotirati njegove obrate za bogatenje urana. Pri tem jih ni oviralo dejstva, da so bili ključni računalniški sistemi izolirani od interneta; so pač kodo posneli na USB-ključke in jo spravili do računalnikov. Danes je Equation Group. Izkazalo se je namreč, da je Olympic Games drobižek v primerjavi z mašinerijo, ki jo poganja Equation Group.
Rusko varnostno podjetje Kaspersky Lab je izsledke obsežne raziskave predstavilo na konferenci danes ponoči v Mehiki. Podjetje, ki sodi med najbolj spoštovane na področju računalniške varnosti, vodi Eugene Kaspersky, ki je študiral kriptografijo pod okriljem KGB in je nekoč delal za rusko vojsko. Ker ZDA nočejo uporabljati izdelkov Kaspersky Laba, uživa ta velik ugled in njegovo programsko opremo uporabljajo v številnih drugih državah.
Kaspersky Lab je raziskal delovanje Equation Group, ki so jo tako poimenovali zaradi pogoste rabe šifriranja. Niso sicer izrecno dejali, da gre za del ameriške administracije, a številne podobnosti z obstoječo programsko opremo in modus operandi kažejo, da je Equation Group vsaj tesno povezan z NSA, če že ni njen del. Kaspersky Lab pravi, da je Equation Group sodelovala z avtorji Stuxneta in Flama. Recimo, Equation Group je uporabljala iste ranljivosti kakor NSA, svoje programe je poimenovala podobno itd.
Equation Group aktivno deluje že drugo desetletje in ima najbolj dodelana in napredna orodja za vohunjenje. Njegovi programi so okužili računalniške sisteme v vsaj 42 državah, med katerimi po stopnji okuženosti vodijo ZDA nenaklonjene države, zlasti Iran, Rusija, Pakistan, Afganistan, Indija, Kitajska in Sirija, so pa na seznamu tudi Velika Britanija in ostale prijateljice ZDA, a manjkrat. Okužili so najrazličnejše sisteme, ki segajo od vojaških do znanstvenoraziskovalnih, visokošolskih, zdravstvenih, telekomunikacijskih in seveda državnih.
Uporabljali so številne trike, kako si zagotoviti dostop do sistemov in kako se izogniti odkritju. Programi so se skrivali celo v firmware diskov, zaradi česar jih je bilo praktično nemogoče odstraniti; pomagalo ni niti popolno formatiranje. Prizadeti so diski podjetij Western Digital, Maxtor, Samsung, Toshiba in Seagate, kar so potrdile tudi neodvisne preiskave.
Programi so prilagojeni tudi za delo na računalnikih brez internetne povezave, saj se zmorejo skrivati na USB-ključih in prenašati z njimi. Podatke v svet pošljejo, ko enkrat pridejo na računalnik, ki dostop spet ima. Ker je komunikacija dvosmerna, lahko z manjšo zamudo vohunimo tudi po nepovezanih računalnikih.
Šli pa so še dlje. Kot smo že poročali, NSA prestreza strojno opremo za namene vgradnje vohunske opreme. Nekaj podobnega počne tudi Equation Group. Prestrežejo, recimo, CD-je prek običajne pošte in poskrbijo, da prejemnik dobi verzijo z vgrajenim črvom - tak primer so zgoščenke s fotografijami s konferenc in namestitveni CD za Oracle 8 izpred sedmih let. Ali pa obiskovalce prek iPhonov preusmerjajo na okužene strani. Na usmerjevalnike Cisco nameščajo pokvarjen firmware itd.
Na sled so jim prišli pri raziskava vdora v Belgacom, ko so opazovali programe Regin, Turla, Careto/Mask, ItaDuke in Animal Farm, ki so okužili sistem. Odkrili pa so tudi kos zlonamerne programske opreme, ki mednje ni sodil. Naslednja napaka je bila registracija domen, ki so potekle. Približno 20 jih niso obnovili in Kaspersky Lab jih je hitro registriral, da je na njih poslušal promet in sledil programski opremi Equation Groupa. Pomagalo je tudi odkrivanje prvotnih okuženih (pacient nič), saj je 14 let dolga doba. Nekateri okuženih računalniki so služili kot vir za širjenje Stuxneta ali Flama, kar tudi nadaljnje krepi sume, da je Equation Group del NSA. Zadnji kos dokazov pa so komentarji in imena spremenljivk v kodi, ki izdajajo več, kot bi pisec želel.
Odkritje Equation Group je pomembno zato, ker gre za najbolj sofisticirano skupino z najboljšo vohunsko kodo, ki je uspela svoje početje skrivati skoraj 15 let. V primerjavi s tem je Stuxnet nedonošenček.