Equation Group: 20 Jahre Cyber-Spionage

Die vermutlich schon seit fast zwei Jahrzehnten tätige "Equation Group" ist laut den Security-Forschern von Kaspersky Lab die bislang mächtigste – bekannte – Cyber-Spionage-Gruppierung. Sie hat es sogar geschafft, ihre "Werkzeuge" in Festplatten-Firmware und eigentlich isolierte "Air Gapped"-Netzwerke einzuschleusen. Die ihr zur Verfügung stehenden Mittel legen nahe, dass es sich um eine Regierungsorganisation handeln könnte – die auch mit den Betreibern von Stuxnet und Flame in Verbindung steht. [...]

Die Angreifer nutzten alle Methoden, um Ziele zu infizieren: nicht nur über das Web, sondern auch über die physikalischen Welt. Hierfür nutzten sie eine klassische Technik zum Abfangen und Ersetzen von trojanisierten Versionen physischer Gegenstände. Ein Beispiel, bei dem Teilnehmer einer wissenschaftlichen Konferenz in Houston betroffen waren: Als die Teilnehmer nach Hause kamen, erhielten einige eine CD-ROM mit Inhalten zur besuchten Konferenz. So konnten die Angreifer das Implantat DoubleFantasy bei den anvisierten Rechnern platzieren. Die genaue Methode, wie die Inhalte der CD mit böswilligem Code versehen werden konnte, bleibt unbekannt.

STUXNET UND FLAME
Es gibt zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise mit den Betreibern von Stuxnet und Flame interagiert – wobei die Equation Group Kaspersky Lab zufolge offenbar eine führende Position inne hatte. Die Equation Group hatte Zugang zu Zero-Day-Schwachstellen, bevor diese von Stuxnet und Flame genutzt wurden. Zu einem anderen Zeitpunkt teilten sie die Exploits mit den anderen.

Im Jahr 2008 nutzte der Schädling Fanny zwei Zero-Days, die erst im Juni 2009 und März 2010 in Stuxnet eingebaut wurden. Eine dieser Zero-Days in Stuxnet war ursprünglich ein Flame-Modul, das dieselbe Schwachstelle ausnutzt. Dieser wurde direkt aus der Flame-Plattform entnommen und in Stuxnet eingebaut.

RIESIGE INFRASTRUKTUR, TAUSENDE OPFER
Die Equation Group verwendet eine riesige C&C-Infrastruktur, die mehr als 300 Domains und über 100 Server umfasst. Die Server werden in zahlreichen Ländern betrieben, darunter auch in Deutschland, den USA, Großbritannien, Italien, den Niederlande, Panama, Costa Rica, Malaysia, Kolumbien und der Tschechischen Republik. Kaspersky Lab betreibt derzeit „Sinkhole“-Server („DNS Sinkholes“) bei mehreren Dutzend der 300 C&C-Server.

Seit dem Jahr 2001 hat die Equation-Gruppe tausende, vermutlich zehntausende, Opfer in über 30 Ländern weltweit aus folgenden Bereichen infiziert: Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln.

Kaspersky Lab beobachtete sieben Exploits, die von der Schadsoftware der Equation Group genutzt wurden. Bei mindestens vier davon handelt es sich um Zero-Days. Außerdem wurden unbekannte Exploits – vermutlich Zero-Days – in Firefox 17 observiert, die auch im Tor-Browser genutzt wurden.

Während der Infektionsphase hätte die Gruppe die Möglichkeit, zehn Exploits hintereinander zu verwenden. Allerdings stellte Kaspersky Lab fest, dass nie mehr als drei genutzt werden: wenn der erste nicht erfolgreich ist, wird ein zweiter und ein dritter Versuch gestartet. Falls alle drei Exploits misslingen, wird das System nicht infiziert. (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*