Spionagegroep herprogrammeert firmware harde schijven
Onderzoekers hebben een groep zeer geavanceerde cyberspionnen (Equation Group) ontdekt die mogelijk al 20 jaar actief is en dezelfde zero day-lekken gebruikte die uiteindelijk door de makers van de Stuxnetworm werden toegepast.
Daarnaast ontwikkelden deze superspionnen malware om de firmware van allerlei populaire merken harde schijven te herprogrammeren, iets wat volgens de onderzoekers nog nooit eerder is vertoond.
Het Global Research and Analysis Team is er in geslaagd om twee modules op te sporen die herprogrammering van de firmware van een harde schijf mogelijk maken, voor ruim een dozijn populaire HDD-merken. Dit is misschien wel de meest krachtige tool in het arsenaal van de Equation Group, en de eerste nu bekende malware die in staat is om harde schijven te infecteren.
Door het herprogrammeren van de firmware van de harde schijf (oftewel het herschrijven van het besturingssysteem van de harddisk), behaalt de groep twee doelen:
mal
1. Een extreme mate van persistentie die hen helpt om eventueel formatteren van de schijf en het opnieuw installeren van het besturingssysteem te overleven. Als de malware in de firmware binnendringt, kan deze zichzelf steeds opnieuw “tot leven wekken”. Het kan het verwijderen van een bepaalde schijfsector voorkomen, of deze tijdens het opstarten van het systeem vervangen door een kwaadaardige versie.
“Een ander gevaarlijk gevolg is dat het onmogelijk is om de firmware te scannen zodra de harde schijf eenmaal is geïnfecteerd met deze kwaadaardige payload. Simpel gezegd: voor de meeste harde schijven zijn er functies om te schrijven in het firmwaregedeelte van de hardware, maar er zijn geen functies om het terug te lezen. Dit betekent dat we vrijwel blind zijn en geen harde schijven kunnen detecteren die zijn geïnfecteerd met deze malware”, waarschuwt Costin Raiu, directeur van het Global Research and Analysis Team bij Kaspersky Lab.
2. De mogelijkheid om een onzichtbaar, persistent gebied te creëren, verborgen binnen de harde schijf. Dit wordt gebruikt om geëxfiltreerde informatie op te slaan die later kan worden opgehaald door de aanvallers. In sommige gevallen kan het de groep ook helpen de encryptie te kraken: “Gezien het feit dat hun GrayFish-implantaat direct actief is vanaf het opstarten van het systeem, hebben ze de mogelijkheid om het encryptiewachtwoord te onderscheppen en dit op te slaan in het verborgen gebied”, verklaart Costin Raiu.
Tussen alle door de Equation Group uitgevoerde aanvallen springt de Fanny-worm eruit. Het voornaamste doel was het in kaart brengen van air-gapped netwerken. Met andere woorden, om de topologie te begrijpen van een netwerk dat niet te bereiken is en om opdrachten uit te voeren naar deze geïsoleerde systemen. Een besmette USB-stick met verborgen opslagruimte wordt hiervoor gebruikt om basis systeeminformatie te verzamelen vanaf een niet op internet aangesloten computer. Vervolgens wordt dit naar de C&C verstuurd zodra de USB-stick in een met Fanny besmette computer met internetverbinding wordt gestoken. Als de aanvallers opdrachten willen uitvoeren op de air-gapped netwerken, kunnen ze deze opslaan in het verborgen gedeelte van de USB-stick. Zodra de stick wordt aangesloten op de air-gapped computer, herkent Fanny de commando’s en voert het deze uit.
De aanvallers gebruikten universele methoden om doelen te infecteren: niet alleen via het web, maar ook in de fysieke wereld. Daarvoor gebruiken ze een interceptietechniek, waarbij fysieke goederen worden onderschept en vervangen door versies met Trojans. Een voorbeeld hiervan had betrekking op de deelnemers aan een wetenschappelijke conferentie in Houston: bij thuiskomst hadden enkele deelnemers een exemplaar van het conferentiemateriaal ontvangen op een cd-rom, die vervolgens werd gebruikt om het DoubleFantasy-implantaat van de groep te installeren op de machine van het doelwit. De exacte wijze waarop deze cd’s werden onderschept is onbekend.
Er zijn duidelijke verbindingen die aangeven dat de Equation Group interactie heeft met andere krachtige groepen, zoals de Stuxnet en Flame operators – over het algemeen vanuit een positie van superioriteit. De Equation Group had toegang tot zero-days voordat deze werden gebruikt door Stuxnet en Flame, en op een gegeven moment deelden ze exploits met anderen.
In 2008 gebruikte Fanny bijvoorbeeld twee zero-days die in juni 2009 en maart 2010 werden geïntroduceerd in Stuxnet. Een van deze zero-days in Stuxnet was eigenlijk een Flame-module die dezelfde kwetsbaarheid exploiteert en die rechtstreeks werd overgenomen uit het Flame-platform om te worden ingebouwd in Stuxnet.
De Equation Group gebruikt een uitgebreide C&C-infrastructuur die meer dan 300 domeinen en ruim 100 servers omvat. De servers worden gehost in meerdere landen, waaronder de VS, Groot-Brittannië, Italië, Duitsland, Nederland, Panama, Costa Rica, Maleisië, Colombia en Tsjechië. Kaspersky Lab creëert momenteel sinkholes voor enkele tientallen van de 300 C&C-servers.
Sinds 2001 heeft de Equation Group duizenden of misschien zelfs tienduizenden slachtoffers geïnfecteerd in meer dan 30 landen wereldwijd, afkomstig uit de volgende sectoren: Overheid en diplomatieke instellingen, telecommunicatie, ruimtevaart, energie, nucleair onderzoek, olie en gas, defensie, nanotechnologie, islamitische activisten en wetenschappers, massamedia, transport, financiële instellingen en bedrijven die encryptietechnologieën ontwikkelen.
Kaspersky Lab heeft zeven exploits waargenomen die door de Equation Group werden gebruikt in hun malware. Ten minste vier hiervan werden gebruikt als zero-days. Daarnaast is het gebruik van onbekende (mogelijk zero-day) exploits waargenomen tegen Firefox 17, zoals gebruikt in de Tor browser.
Gedurende de infectiefase heeft de groep de mogelijkheid om tien exploits in een keten te gebruiken. Deskundigen van Kaspersky Lab constateerden echter dat er niet meer dan drie worden gebruikt: als de eerste niet succesvol is, proberen ze het met de volgende, en daarna met de derde. Als alle drie de exploits mislukken, infecteren ze het systeem niet.
Producten van Kaspersky Lab ontdekten een aantal pogingen om haar gebruikers aan te vallen. Veel van deze aanvallen waren niet succesvol vanwege de Automatic Exploit Prevention-technologie, die het exploiteren van onbekende kwetsbaarheden op generieke wijze detecteert en blokkeert. De vermoedelijk in juli 2008 gecompileerde Fanny-worm werd voor het eerst door de automatische systemen van Kaspersky Lab ontdekt en op de zwarte lijst gezet in december 2008.