Недавно специалисты «Лаборатории Касперского» обнаружили кибергруппу Equation Group, которая ведет свою деятельность на протяжении почти двадцати лет. Ее действия затронули десятки тысяч пользователей в более чем 30 странах мира. Наибольшее количество жертв зафиксировано в России и Иране.
Цели злоумышленников были предсказуемы — правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ. Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. В настоящее время «Лаборатория Касперского» контролирует около 20 серверов группы.
В арсенале Equation Group имеется множество зловредов, и некоторые из них — крайне новаторские. К примеру, «Лаборатория Касперского» впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных производителей. Надо понимать, что таким образом злоумышленники добиваются двух целей: во-первых, однажды попав в ОС жесткого диска, зловред остается там навсегда — его невозможно ни обнаружить, ни избавиться от него: он не может быть удален даже в случае форматирования диска. Во-вторых, у атакующих есть возможность создать себе «тихую гавань» в виде секретного хранилища, где может безопасно собираться вся необходимая информация.
Equation Group использует червя Fanny, который позволяет получать данные с компьютера, даже если он отключен от Сети. Для этого через уже зараженный компьютер атакующие «поселяют» червя в USB-флешке, и этот зловред в свою очередь создает на съемном носителе скрытый сектор, в который собирает всю информацию об архитектуре изолированной сети. В момент попадания на компьютер, подключенный к интернету, червь с USB передает все данные на сервер Equation Group. Атакующие также могут добавить необходимые команды в тот же скрытый сектор на флешке, и впоследствии при попадании на изолированную машину червь выполнит эти команды.
«Лаборатория Касперского» также выяснила, что Equation Group взаимодействовала с другими кибергруппировками, в частности, с организаторами Stuxnet и Flame. По всей вероятности, она делилась с «коллегами» имевшимися у нее эксплойтами, использующими уязвимости нулевого дня.
