Yıllardır Kaspersky Lab Global Araştırma ve Analiz Ekibi (GReAT) dünyanın her yerinde siber saldırılardan sorumlu olan 60'tan fazla gelişmiş tehdit aktörünü izliyor. Bununla birlikte Kaspersky Lab uzmanları teknik karmaşıklık açısından bilinen her şeye baskın çıkan ve neredeyse yirmi yıldır aktif olan bir tehdit aktörünü keşfettiğini de ancak şimdi onaylayabildi. Bu aktör, Equation Grubu.
2001 yılından beri Equation grup, dünyanın her yerinden 30'dan fazla ülkede farklı sektörlerden binlerce, hatta belki on binlerce kurbana virüs bulaştırmakla meşguldü: Devlet ve diplomasi kurumları, Telekomünikasyon, Hava-uzay, Enerji, Nükleer araştırma, Petrol ve Gaz, Savunma, Nanoteknoloji, İslami aktivistler ve araştırmacılar, Kitle iletişimi, Taşımacılık, Finansal kuruluşlar ve şifreleme teknolojileri geliştiren şirketler hedefteydi.
Equation grubu, 300'den fazla etki alanı ve 100'den fazla sunucu içeren devasa bir C&C altyapısı kullanıyor. Bu sunucular ABD, İngiltere, İtalya, Almanya, Hollanda, Panama, Kosta Rika, Malezya, Kolombiya ve Çek Cumhuriyeti dahil birçok ülkede barındırılıyor. Kaspersky Lab şu anda 300 C&C sunucusunun birkaç düzinesine ulaşmış bulunmakta.
Kurbanlarına virüs bulaştırmak için grup, güçlü ve modern bir zararlı yazılım cephaneliğinden faydalanıyor. GReAT, popüler HDD markalarının bir düzinesinden fazlasının sabit disk belleniminde yeniden programlamaya olanak tanıyan iki modülü kurtarabilmiş. Bu belki de Equation grubunun cephaneliğindeki en kullanışlı araç ve sabit sürücülere virüs bulaştırma becerisine sahip olduğu bilinen ilk zararlı yazılım.
Grubun sabit diskin bellenimini yeniden programlamasının (yani sabit diskin işletim sistemini yeniden yazmanın) iki amacı var:
1. Disk formatlama ve İS yeniden kurulumundan kurtulmaya yardımcı olan en üst düzey kalıcılık. Zararlı yazılım bellenime girerse, kendini sonsuza dek "yeniden diriltebilir". Belirli disk sektörlerinin silinmesine engel olabilir veya sistemin yüklenmesi sırasında zararlı bir sektörle değiştirebilir.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Başkanı Costin Raiu şunları söylüyor: "Bir diğer tehlikeyse sabit diskin bir kez bu zararlı yükü kaptıktan sonra bellenimini taramasının imkansız oluşudur. Basitçe açıklamak gerekirse: birçok sabit diskte donanım bellenimi alanına yazma işlevi bulunur ancak geri okuma işlevi bulunmaz. Bu, pratikte kör olduğumuz ve bu zararlı yazılımın bulaştığı sabit diskleri tespit edemediğimiz anlamına gelir".
2. Sabit diskin içinde görünmez ve kalıcı bir alan oluşturma becerisi. Daha sonra saldırganlarca geri alınabilecek olan çalınan bilgileri kaydetmek için kullanılır. Ayrıca bazı durumlarda grubun şifreyi kırmasına yardımcı olabilir: Costin Raiu sözlerini şöyle sürdürüyor: "GrayFish eklentisinin sistemin ilk yüklenişinden itibaren aktif olduğu hesaba katılacak olduğunda şifreleri ele geçirme ve bunları gizli bir yere kaydetme becerisine sahip oldukları görebiliriz."
Bunun yanı sıra Equation grubu, tüm saldırılarında göze çarpan Fanny solucanını kullanıyor. Temel amacı hava boşluğu bulunan ağların haritasını çıkarmak, bir başka ifadeyle ulaşılamayan bir ağın topolojisini anlamak ve bu yalıtılmış sistemlerde komutlar yürütmek. Bunun için saldırganların hava boşluklu ağlarda verileri ileri ve geri taşımalarına olanak tanıyan benzersiz bir USB tabanlı komut ve kontrol mekanizması kullanılmış.
Özellikle, İnternete bağlı olmayan bir bilgisayardan temel sistem bilgilerini toplamak ve Fanny bulaşmış ve internete bağlı olan bir bilgisayara USB çubuğu takıldığında bu bilgileri C&C'ye göndermek için gizli bir depolama alanı ve virüs bulunan USB çubuğu kullanılıyor. Saldırganlar hava boşluklu ağlarda komutlar çalıştırmak istediklerinde bu komutları USB çubuğunun gizli alanına kaydedebilirler. Çubuk hava boşluklu bilgisayara takıldığında Fanny komutları tanıyor ve yürütüyor.
Üstelik, Equation grubunun Stuxnet ve Flame operatörleri gibi diğer güçlü gruplarla, genellikle tepeden bakan bir konumda etkileşime geçtiğini gösteren sağlam kanıtlar da bulunuyor. Equation grubu sıfır gün tehditlerine Stuxnet ve Flame tarafından kullanılmadan önce erişim sağlamış ve bir noktada açıklardan yararlanma amaçlı kodları diğerleriyle paylaşmış.
Örneğin Fanny, Stuxnet'in Haziran 2009 ve Mart 2010'da kullandığı iki sıfır gün tehdidini 2008 yılında kullanmış. Bu Stuxnet sıfır gün tehditlerinden biri gerçekte, Flame ile aynı açıktan faydalanan ve doğrudan Flame platformundan alınarak Stuxnet'te oluşturulan bir Flame modülüydü. Kaspersky Lab, Equation grup tarafından zararlı yazılımlarında kullanılmış yedi adet açıklardan faydalanma amaçlı kod gözlemledi. Bunlardan en az dördü sıfır gün tehditlerinde kullanıldı. Buna ek olarak, Tor tarayıcısında olduğu gibi Firefox 17'ye karşı muhtemelen sıfır gün tehdidi olarak kullanılan bilinmeyen açıklardan yararlanma amaçlı kodlar gözlemlendi.
Virüs bulaştırma aşamasında grup, on adet açıklardan faydalanma amaçlı kodu bir zincir halinde kullanma becerisine sahip. Ancak Kaspersky Lab'ın uzmanları üçten fazlasının kullanıldığını henüz gözlemlemedi. İlki başarılı olmazsa bir diğerini deniyor ve ardından bir diğerini daha deniyorlar. Üç denemenin hiç biri başarılı olamazsa sisteme virüs bulaştırmaktan vazgeçiyorlar.
Kaspersky Lab ürünleri kullanıcılarına karşı yapılan çok sayıda saldırı denemesini algıladı. Bu saldırıların birçoğu, bilinmeyen güvenlik açıklarından yararlanılmasını kapsamlı olarak algılayan ve engelleyen Otomatik Açıklardan Yararlanma Amaçlı Kod Engelleme teknolojisi sayesinde başarısız oldu. Temmuz 2008'de derlendiği varsayılan Fanny solucanı ilk kez bizim otomatik sistemlerimiz tarafından Aralık 2008'de algılanmış ve kara listeye alındı.