stringtranslate.com

Grupo de ecuaciones

El Grupo Equation , clasificado como una amenaza persistente avanzada , es un actor de amenazas altamente sofisticado que se sospecha que está vinculado a la unidad Tailored Access Operations (TAO) de la Agencia de Seguridad Nacional de los Estados Unidos (NSA). [1] [2] [3] Kaspersky Labs los describe como uno de los grupos de ciberataques más sofisticados del mundo y "el más avanzado (...) que hemos visto", operando junto a los creadores de Stuxnet y Flame . [4] [5] La mayoría de sus objetivos han estado en Irán , Rusia , Pakistán , Afganistán , India , Siria y Mali . [5]

El nombre se originó a partir del uso extensivo del cifrado por parte del grupo. En 2015, Kaspersky documentó 500 infecciones de malware por parte del grupo en al menos 42 países, aunque reconoció que el número real podría ser de decenas de miles debido a su protocolo de terminación automática. [5] [6]

En 2017, WikiLeaks publicó una discusión que se había llevado a cabo dentro de la CIA sobre cómo había sido posible identificar al grupo. [7] Un comentarista escribió que "el Grupo Equation, tal como se lo etiqueta en el informe, no se relaciona con un grupo específico, sino más bien con una colección de herramientas" utilizadas para piratear. [8]

Descubrimiento

En la Cumbre de analistas de seguridad de Kaspersky celebrada en México el 16 de febrero de 2015, Kaspersky Lab anunció el descubrimiento del Grupo Equation. Según el informe de Kaspersky Lab, el grupo ha estado activo desde al menos 2001, con más de 60 actores. [9] Se ha descubierto que el malware utilizado en sus operaciones, denominado EquationDrug y GrayFish, es capaz de reprogramar el firmware de las unidades de disco duro . [4] Debido a las técnicas avanzadas involucradas y al alto grado de encubrimiento, se sospecha que el grupo tiene vínculos con la NSA, pero Kaspersky Lab no ha identificado a los actores detrás del grupo.

Posibles vínculos con Stuxnet y la NSA

En 2015, los resultados de la investigación de Kaspersky sobre Equation Group indicaron que su cargador, "GrayFish", tenía similitudes con un cargador descubierto previamente, "Gauss", [repositorio] de otra serie de ataques, y señalaron por separado que Equation Group utilizó dos ataques de día cero que luego se utilizaron en Stuxnet ; los investigadores concluyeron que "el tipo similar de uso de ambos exploits juntos en diferentes gusanos informáticos, aproximadamente al mismo tiempo, indica que el grupo EQUATION y los desarrolladores de Stuxnet son el mismo o trabajan en estrecha colaboración". [10] : 13 

Firmware

También identificaron que la plataforma se había propagado en ocasiones mediante interdicción (interceptación de CD legítimos enviados por correo por un organizador de una conferencia científica ), [10] : 15  y que la plataforma tenía la capacidad "sin precedentes" de infectar y transmitirse a través del firmware del disco duro de varios fabricantes importantes de discos duros, y crear y utilizar áreas de disco ocultas y sistemas de disco virtual para sus fines, una hazaña que requeriría acceso al código fuente del fabricante para lograrlo, [10] : 16–18  y que la herramienta estaba diseñada para una precisión quirúrgica, llegando tan lejos como para excluir países específicos por IP y permitir la selección de nombres de usuario específicos en foros de discusión . [10] : 23–26 

Palabras clave y marcas de tiempo

Se han encontrado las palabras clave de la NSA "STRAITACID" y "STRAITSHOOTER" dentro del malware. Además, las marcas de tiempo en el malware parecen indicar que los programadores trabajaron principalmente de lunes a viernes, lo que correspondería a un día laboral de 08:00 a 17:00 (8:00 AM - 5:00 PM) en una zona horaria del este de los Estados Unidos. [11]

El exploit de LNK

El equipo de investigación y análisis global de Kaspersky, también conocido como GReAT, afirmó haber encontrado un fragmento de malware que contenía "privLib" de Stuxnet en 2008. [12] Específicamente, contenía el exploit LNK encontrado en Stuxnet en 2010. Fanny está clasificado como un gusano que afecta a ciertos sistemas operativos Windows e intenta propagarse lateralmente a través de una conexión de red o almacenamiento USB . [repositorio] Kaspersky declaró que sospechan que Equation Group ha existido por más tiempo que Stuxnet, basándose en el tiempo de compilación registrado de Fanny. [4]

Enlace a IRATEMONK

La lista de la NSA del programa de Operaciones de Acceso a Medida denominado IRATEMONK del catálogo ANT de la NSA .

F-Secure afirma que el firmware del disco duro malicioso de Equation Group es el programa TAO "IRATEMONK", [13] uno de los elementos del catálogo ANT de la NSA expuesto en un artículo de Der Spiegel de 2013. IRATEMONK proporciona al atacante la capacidad de tener su aplicación de software instalada de forma persistente en computadoras de escritorio y portátiles, a pesar de que el disco esté formateado , sus datos borrados o el sistema operativo reinstalado. Infecta el firmware del disco duro, que a su vez agrega instrucciones al registro de arranque maestro del disco que hace que el software se instale cada vez que se inicia la computadora . [14] Es capaz de infectar ciertos discos duros de Seagate , Maxtor , Western Digital , Samsung , [14] IBM , Micron Technology y Toshiba . [4]

Incumplimiento del Grupo Equation en 2016

En agosto de 2016, un grupo de piratas informáticos que se autodenomina " The Shadow Brokers " anunció que había robado código de malware de Equation Group. [15] Kaspersky Lab notó similitudes entre el código robado y el código conocido anteriormente de las muestras de malware de Equation Group que tenía en su posesión, incluidas peculiaridades únicas de la forma en que Equation Group implementa el algoritmo de cifrado RC6 , y por lo tanto concluyó que este anuncio es legítimo. [16] Las fechas más recientes de los archivos robados son de junio de 2013, lo que llevó a Edward Snowden a especular que un probable bloqueo resultante de su filtración de los esfuerzos de vigilancia global y nacional de la NSA detuvo la violación de Equation Group por parte de The Shadow Brokers. Los exploits contra Cisco Adaptive Security Appliances y los firewalls de Fortinet aparecieron en algunas muestras de malware lanzadas por The Shadow Brokers. [17] EXTRABACON, un exploit de Protocolo simple de administración de redes contra el software ASA de Cisco, era un exploit de día cero en el momento del anuncio. [17] Juniper también confirmó que sus firewalls NetScreen se vieron afectados. [18] El exploit EternalBlue se utilizó para llevar a cabo el dañino ataque mundial del ransomware WannaCry .

Véase también

Referencias

  1. ^ Fox-Brewster, Thomas (16 de febrero de 2015). «¿Ecuación = NSA? Investigadores descubren un enorme 'arsenal cibernético estadounidense'». Forbes . Consultado el 24 de noviembre de 2015 .
  2. ^ Menn, Joseph (17 de febrero de 2015). «Investigadores rusos revelan un programa de espionaje estadounidense revolucionario». Reuters . Consultado el 24 de noviembre de 2015 .
  3. ^ "La NSA fue hackeada, confirman los documentos de Snowden". The Intercept . 19 de agosto de 2016 . Consultado el 19 de agosto de 2016 .
  4. ^ abcd GReAT (16 de febrero de 2015). "Equation: La Estrella de la Muerte de la Galaxia del Malware". Securelist.com . Kaspersky Lab . Consultado el 16 de agosto de 2016 . SecureList , Costin Raiu (director del equipo de investigación y análisis global de Kaspersky Lab): "Me parece que Equation Group es el que tiene los juguetes más geniales. De vez en cuando los comparten con el grupo Stuxnet y el grupo Flame, pero originalmente solo están disponibles para la gente de Equation Group. Equation Group son definitivamente los maestros, y les están dando a los demás, tal vez, migajas de pan. De vez en cuando les están dando algunas golosinas para integrar en Stuxnet y Flame".
  5. ^ abc Goodin, Dan (16 de febrero de 2015). «Cómo los hackers «omnipotentes» vinculados a la NSA se escondieron durante 14 años y finalmente fueron descubiertos». Ars Technica . Consultado el 24 de noviembre de 2015 .
  6. ^ Kirk, Jeremy (17 de febrero de 2015). «Destruir el disco duro es la única forma de detener este malware superavanzado». PCWorld . Consultado el 24 de noviembre de 2015 .
  7. ^ Goodin, Dan (7 de marzo de 2017). "Tras la revelación de los ataques informáticos a la NSA, los empleados de la CIA preguntaron en qué se equivocó Equation Group". Ars Technica . Consultado el 21 de marzo de 2017 .
  8. ^ "¿Qué hizo mal Equation y cómo podemos evitar que nos pase lo mismo?". Vault 7 . WikiLeaks . Consultado el 21 de marzo de 2017 .
  9. ^ "Equation Group: el creador supremo del ciberespionaje". Kaspersky Lab . 16 de febrero de 2015. Consultado el 24 de noviembre de 2015 .
  10. ^ abcd «Equation Group: Preguntas y respuestas (versión: 1.5)» (PDF) . Kaspersky Lab . Febrero de 2015. Archivado desde el original (PDF) el 17 de febrero de 2015 . Consultado el 24 de noviembre de 2015 .
  11. ^ Goodin, Dan (11 de marzo de 2015). "Una nueva prueba irrefutable vincula aún más a la NSA con los todopoderosos hackers del "Equation Group"". Ars Technica . Consultado el 24 de noviembre de 2015 .
  12. ^ "Una ecuación de Fanny: "Soy tu padre, Stuxnet"". Kaspersky Lab. 17 de febrero de 2015. Consultado el 24 de noviembre de 2015 .
  13. ^ "El grupo de ecuaciones es igual a NSA/IRATEMONK". Blog de F-Secure : Noticias del laboratorio . 17 de febrero de 2015. Consultado el 24 de noviembre de 2015 .
  14. ^ ab Schneier, Bruce (31 de enero de 2014). "IRATEMONK: Exploit of the Day de la NSA". Schneier on Security . Consultado el 24 de noviembre de 2015 .
  15. ^ Goodin, Dan (15 de agosto de 2016). «Grupo afirma haber atacado a piratas informáticos vinculados a la NSA y publica exploits como prueba». Ars Technica . Consultado el 19 de agosto de 2016 .
  16. ^ Goodin, Dan (16 de agosto de 2016). "Confirmado: la filtración de una herramienta de piratería informática provino de un grupo "omnipotente" vinculado a la NSA". Ars Technica . Consultado el 19 de agosto de 2016 .
  17. ^ ab Thomson, Iain (17 de agosto de 2016). "Cisco confirma que dos de las vulnerabilidades 'NSA' de Shadow Brokers son reales". The Register . Consultado el 19 de agosto de 2016 .
  18. ^ Pauli, Darren (24 de agosto de 2016). "Explotación de Equation Group afecta a los nuevos Cisco ASA y Juniper Netscreen". The Register . Consultado el 30 de agosto de 2016 .

Enlaces externos

Wikimedia Commons tiene medios relacionados con Grupo de ecuaciones .