Kaspersky odkrył nowe złośliwe oprogramowanie NSA

Niesamowicie złożony kod posiada 116 przerażających plug-inów.

Poszukiwacze złośliwego oprogramowania z Kaspersky’ego odkryli nową platformę przypominającą system operacyjny, która była rozwijana i używana przez NSA (National Security Agency) w ramach swojego szpiegowskiego arsenału Equation.

Platformy EquationDrug lub Equestre są używane do wdrożenia 116 modułów do zbierania danych i szpiegowania komputerów ofiar.

„Ważną rzeczą jest, że EquationDrug to nie tylko trojan, ale pełna szpiegowska platforma, która posiada framework do przeprowadzania działań cyberszpiegowskich przez stosowanie specyficznych modułów na komputerach wybranych ofiar”, jak mówią naukowcy z Kaspersky w swoim raporcie.

Inne dotychczasowe zagrożenia wykorzystujące tak wyrafinowane platformy to Regin oraz Epic Turla. Architektura całego frameworku przypomina mini-system operacyjny z modułami kernel-mode i user-mode ostrożnie oddziałującymi ze sobą przez niestandardowy interfejs przekazywania wiadomości.

Platforma jest częścią prawdopodobnie trwającej kampanii NSA mającej na celu zainfekowanie dysków twardych. Zastępuje starszą EquationLaser i prawdopodobnie jest zastępowana platformą GrayFish.

Kaspersky uznaje nowo zidentyfikowane oprogramowanie za „wyrafinowane niczym stacja kosmiczna”, z uwagi na wysoką liczbę zastosowanych narzędzi szpiegowskich.

equation_drug3

Architektura platformy EquationDrug.

Dodatkowe moduły mogą zostać dodane przez niestandardowy system szyfrowania plików, zawierający dziesiątki plików wykonywalnych, które wspólnie pokonują większość zabezpieczeń ochronnych.

Większość unikatowych identyfikatorów i kryptonimów związanych z modułami jest szyfrowana i ukryta. Właściwości niektórych modułów mogą zostać określone przez unikatowe numery identyfikacyjne. Inne wymagają obecności innych pluginów do działania.

Każda wtyczka ma unikatowy identyfikator i numer wersji, które definiują zestaw funkcji, które może zapewnić. Niektóre z wtyczek mogą zależeć od innych i nie będą działać, jeśli nie będą współdziałać.

Pracownicy z firmy Kaspersky odnaleźli 30 z szacowanych 116 istniejących modułów.

„Pluginy, które odkryliśmy, prawdopodobnie stanowią tylko małą część potencjalnego arsenału atakującego,” według naukowców.

Daty powiązane z plikami wykonalnymi wskazują na to, że developerzy NSA najwięcej pracują nad platformą od wtorku do piątku.

W odkrytych modułach narzędzi odnaleziono kody mogące być wykorzystane w celach:

  • przechwytywanie ruchu sieciowego w celu kradzieży lub re-routowania
  • reverse DNS resolution (rekordy DNS PTR)
  • zarządzanie komputerem
    • uruchamianie i zatrzymywanie procesów
    • zarządzanie plikami i katalogami
  • systemy gromadzenia informacji
    • wykrywanie wersji używanego systemu operacyjnego
    • wykrywanie nazwy komputera
    • wykrywanie nazwy użytkownika
    • wykrywanie układu klawiatury
    • wykrywanie strefy czasowej
    • dostęp do listy procesów
  • przeglądanie zasobów sieciowych, wyliczanie oraz dostęp
  • gromadzenie informacji WMI
  • gromadzenie zapisanych haseł
  • wyliczanie procesów i innych obiektów systemowych
  • monitorowanie na żywo aktywności użytkownika w przeglądarce internetowej
  • dostęp do plików systemowych, na bazie popularnego frameworku Sleuthkit
  • monitorowanie usuwalnej pamięci zewnętrznej
  • pasywny backdoor sieciowy
  • manipulacja firmware HDD i SSD
  • monitoring schowka oraz keylogging
  • zapisywanie historii przeglądanych stron, zapamiętywanych haseł oraz automatycznie wpisywanych danych w formularzach

Cyfrowa Matka

Może Ci się również spodoba

1 Odpowiedź

  1. la milu opinie napisał(a):

    Czy całkowicie ta opcja w artykule jest wyczerpująca.Myśle,że warto się jeszcze podszkolić w tej kwestii.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *