Die vermutlich schon seit fast zwei Jahrzehnten tätige "Equation Group" ist laut den Security-Forschern von Kaspersky Lab die bislang mächtigste – bekannte – Cyber-Spionage-Gruppierung. Sie hat es sogar geschafft, ihre "Werkzeuge" in Festplatten-Firmware und eigentlich isolierte "Air Gapped"-Netzwerke einzuschleusen. Die ihr zur Verfügung stehenden Mittel legen nahe, dass es sich um eine Regierungsorganisation handeln könnte – die auch mit den Betreibern von Stuxnet und Flame in Verbindung steht. [...]
Die Angreifer nutzten alle Methoden, um Ziele zu infizieren: nicht nur über das Web, sondern auch über die physikalischen Welt. Hierfür nutzten sie eine klassische Technik zum Abfangen und Ersetzen von trojanisierten Versionen physischer Gegenstände. Ein Beispiel, bei dem Teilnehmer einer wissenschaftlichen Konferenz in Houston betroffen waren: Als die Teilnehmer nach Hause kamen, erhielten einige eine CD-ROM mit Inhalten zur besuchten Konferenz. So konnten die Angreifer das Implantat DoubleFantasy bei den anvisierten Rechnern platzieren. Die genaue Methode, wie die Inhalte der CD mit böswilligem Code versehen werden konnte, bleibt unbekannt.
STUXNET UND FLAME
Es gibt zuverlässige Hinweise darauf, dass die Equation Group mit anderen einflussreichen Gruppen wie beispielsweise mit den Betreibern von Stuxnet und Flame interagiert – wobei die Equation Group Kaspersky Lab zufolge offenbar eine führende Position inne hatte. Die Equation Group hatte Zugang zu Zero-Day-Schwachstellen, bevor diese von Stuxnet und Flame genutzt wurden. Zu einem anderen Zeitpunkt teilten sie die Exploits mit den anderen.
Im Jahr 2008 nutzte der Schädling Fanny zwei Zero-Days, die erst im Juni 2009 und März 2010 in Stuxnet eingebaut wurden. Eine dieser Zero-Days in Stuxnet war ursprünglich ein Flame-Modul, das dieselbe Schwachstelle ausnutzt. Dieser wurde direkt aus der Flame-Plattform entnommen und in Stuxnet eingebaut.
RIESIGE INFRASTRUKTUR, TAUSENDE OPFER
Die Equation Group verwendet eine riesige C&C-Infrastruktur, die mehr als 300 Domains und über 100 Server umfasst. Die Server werden in zahlreichen Ländern betrieben, darunter auch in Deutschland, den USA, Großbritannien, Italien, den Niederlande, Panama, Costa Rica, Malaysia, Kolumbien und der Tschechischen Republik. Kaspersky Lab betreibt derzeit „Sinkhole“-Server („DNS Sinkholes“) bei mehreren Dutzend der 300 C&C-Server.
Seit dem Jahr 2001 hat die Equation-Gruppe tausende, vermutlich zehntausende, Opfer in über 30 Ländern weltweit aus folgenden Bereichen infiziert: Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln.
Kaspersky Lab beobachtete sieben Exploits, die von der Schadsoftware der Equation Group genutzt wurden. Bei mindestens vier davon handelt es sich um Zero-Days. Außerdem wurden unbekannte Exploits – vermutlich Zero-Days – in Firefox 17 observiert, die auch im Tor-Browser genutzt wurden.
Während der Infektionsphase hätte die Gruppe die Möglichkeit, zehn Exploits hintereinander zu verwenden. Allerdings stellte Kaspersky Lab fest, dass nie mehr als drei genutzt werden: wenn der erste nicht erfolgreich ist, wird ein zweiter und ein dritter Versuch gestartet. Falls alle drei Exploits misslingen, wird das System nicht infiziert. (pi)
Be the first to comment