Onderzoekers hebben een groep zeer geavanceerde cyberspionnen ontdekt die mogelijk al 20 jaar actief is en dezelfde zero day-lekken gebruikte die uiteindelijk door de makers van de Stuxnetworm werden toegepast. Daarnaast ontwikkelden deze superspionnen malware om de firmware van allerlei populaire merken harde schijven te herprogrammeren, iets wat volgens de onderzoekers nog nooit eerder is vertoond.
De spionnen worden door het Russische anti-virusbedrijf Kaspersky Lab aangeduid als de "Equation Group". De eerste domeinen die de groep gebruikte voor het aansturen van besmette computers dateren van 2001, terwijl de eerste malware-exemplaren in 2002 zijn gemaakt. Andere domeinen die de groep voor het aansturen van de besmette computers gebruikte waren al in 1996 geregistreerd. Dat zou mogelijk inhouden dat de spionnen al bijna twee decennia actief zijn.
De Equation Group ontwikkelde verschillende malware-platformen die geavanceerder zijn dan de vorig jaar onthulde Regin-malware. Zo werd er onder andere een computerworm ontwikkeld die in 2008 allerlei informatie over doelwitten in Azië en het Midden-Oosten verzamelde. Deze worm, met de naam "Fanny", gebruikte twee zero day-lekken. Kwetsbaarheden die uiteindelijk ook voor Stuxnet werden gebruikt. Volgens Kaspersky houdt dit in dat de Equation Group ook Stuxnet ontwikkelde of met de ontwikkelaars van de worm samenwerkte.
De Fanny-worm had waarschijnlijk als doel om netwerken in kaart te brengen die niet op internet waren aangesloten. De malware werd onder andere via USB-sticks verspreid. Op besmette USB-sticks maakte Fanny een verborgen opslaggedeelte aan, waar het informatie over besmette systemen in bewaarde. Ook onderschepte de groep fysieke goederen en verving die door versies met Trojaanse paarden.
Een voorbeeld hiervan had betrekking op de deelnemers aan een wetenschappelijke conferentie in Houston: bij thuiskomst hadden enkele deelnemers een exemplaar van het conferentiemateriaal ontvangen op een cd-rom, die vervolgens werd gebruikt om het DoubleFantasy-implantaat van de groep te installeren op de machine van het doelwit. De exacte wijze waarop deze cd's werden onderschept is onbekend.
Naast USB-sticks en cd's gebruikte de spionagegroep ook web-based exploits. Zo werden er onder andere lekken in Java en Internet Explorer gebruikt om slachtoffers te infecteren. Ook werden er onbekende exploits, mogelijk zero days, tegen de Firefox 17-versie van Tor Browser ingezet. Tor Browser gebruikt een aangepaste Firefoxversie die door de Equation Groep werd aangevallen.
Sinds 2001 zouden de cyberspionnen duizenden computers in allerlei sectoren hebben geïnfecteerd, zoals overheden, telecom, energie, nanotechnologie, financiële instellingen, olie en gas en luchtvaart. De meeste slachtoffers bevinden zich in Iran en Rusland. In totaal telde Kaspersky Lab 500 slachtoffers, maar het werkelijke aantal ligt waarschijnlijk veel hoger, omdat de malware over een zelfvernietigingsmechanisme beschikt. Er wordt dan ook niet uitgesloten dat er mogelijk tienduizenden computers besmet zijn geraakt.
Wat de groep echt laat opvallen is de mogelijkheid om de firmware van allerlei merken harde schijven te herprogrammeren. De onderzoekers wisten twee modules veilig te stellen die werden gebruikt voor het herprogrammeren van de firmware. Via deze methode konden de aanvallers het opnieuw installeren en formatteren van de harde schijf overleven. Daarnaast kon er een onzichtbare opslag op de harde schijf worden aangemaakt. De module zou echter op zeer beperkte schaal zijn ingezet, vermoedelijk tegen de meest waardevolle doelwitten.
"Een ander gevaarlijk gevolg is dat het onmogelijk is om de firmware te scannen zodra de harde schijf eenmaal is geïnfecteerd met deze kwaadaardige payload. Simpel gezegd: voor de meeste harde schijven zijn er functies om te schrijven in het firmwaregedeelte van de hardware, maar er zijn geen functies om het terug te lezen. Dit betekent dat we vrijwel blind zijn en geen harde schijven kunnen detecteren die zijn geïnfecteerd met deze malware", waarschuwt Costin Raiu, onderzoeksdirecteur bij Kaspersky Lab.
De mogelijkheid om een onzichtbaar en persistent gebied op de harde schijf te creëren wordt gebruikt om verzamelde informatie op te slaan die later kan worden opgehaald door de aanvallers. In sommige gevallen kan het de groep ook helpen de encryptie te kraken: "Gezien het feit dat hun GrayFish-implantaat direct actief is vanaf het opstarten van het systeem, hebben ze de mogelijkheid om het encryptiewachtwoord te onderscheppen en dit op te slaan in het verborgen gebied", verklaart Raiu.
Hoewel alle aangetroffen malware voor Windows werkte, zijn er ook sporen aangetroffen die op Mac OS X-malware duiden. Eén van de domeinen die werd gebruikt voor het aansturen van de besmette computers ontving allerlei verbindingen van Chinese Mac OS X-computers. Er wordt dan ook verondersteld dat er van tenminste één van de malware-platformen ook een Mac-versie is. Ook zou de groep over de mogelijkheid beschikken om iPhones te infecteren.
Ondanks het niveau van de malwareschrijvers hebben ze toch sporen achtergelaten. Zo werden in de onderzochte modules verschillende sleutelwoorden aangetroffen, zoals DESERTWINTER, STRAITSHOOTER en GROK. Deze laatste term verscheen eerder in NSA-documenten die door Der Spiegel werden gepubliceerd. Kaspersky Lab ontdekte de Equation Group tijdens het onderzoek naar de Regin-malware. Deze malware werd door de virusbestrijder aan de NSA toegeschreven. Daarnaast bestempelt de groep malware als "implantaten", een term die eerder in de NSA-documenten van Snowden verscheen. Daarnaast is de ontwikkeling van Stuxnet toegeschreven aan de NSA.
De komende dagen zal het Russische anti-virusbedrijf meer details over de groep en toegepaste werkwijze publiceren. Inmiddels is er al een document online verschenen (pdf) met aanwijzingen en details zodat onderzoekers en systeembeheerders kunnen controleren of er machines binnen hun organisatie of omgeving zijn getroffen. "Hoe meer we dit soort cyberspionage-operaties onderzoeken, des te meer we begrijpen hoe weinig we ervan weten. Samen kunnen we deze praktijken onthullen en aan een veiligere (cyber-)wereld werken", aldus de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.