EquationDrug: Sophisticated, stealthy data theft for over a decade

ramnit-header-imagecredsymantec.jpg
Far beyond the capabilities of traditional cybercriminals, The Equation Group’s EquationDrug platform is used to target select victims worldwide.

Kaspersky has published additional details concerning The Equation Group’s toolset, and has revealed the EquationDrug cyberespionage platform as a potent and long-lasting campaign.

Originally revealed at the Kaspersky Labs Security Analyst Summit in February, the security firm said a cybercriminal group dubbed “The Equation Group” surpasses all others in complexity and techniques. Deemed the “ancestor” of Stuxnet and Flame, as Zero Days were used by The Equation Group before other threat actors — and potentially shared by them — additional details concerning the group’s activities now suggest the group may have been in operation since the 1990’s.

According to Kaspersky Lab researchers, The Equation Group uses expensive tools and sophisticated Trojans to steal data from their victims, and they also use “classic” spying techniques to deliver malicious payloads. Tools used by the group include EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish.

The threat actors use a command and control (C&C) center compromising of over 300 domains and more than 100 servers hosted in countries including the US and UK. One part of the network is EquationDrug, a full cyberespionage platform which dates back to 2003. Kaspersky says EquationDrug is the main platform used by the group in cyberespionage. EquationDrug is the main platform used by the group in cyberespionage.

EquationDrug includes a framework which allows specific modules to be deployed on the machines of victims. The platform can be extended through plugins and modules, but is pre-built with a default set of plugins which support basic spying activities — such as file theft and screenshot capture.

However, the EquationDrug platform does show elements of sophistication through the storage of stolen data inside a custom-encrypted virtual file system before it is sent to the C&C center.

When it comes to platform architecture, EquationDrug includes dozens of executables, configurations and protected storage locations. EquationDrug resembles a “mini operating system,” according to Kaspersky, due to the use of kernel-mode and user-mode components which interact with each other via a custom message-passing interface. The platform also includes a set of drivers, a platform core and individually labeled plugins. Some modules are statically linked to the platform core, while others load on demand, according to the team.

equationdrug1.jpg

To date, Kaspersky has uncovered 30 unique plugin IDs, but admits that up to 86 other modules are still in the wild and have yet to be discovered.

“The plugins we discovered probably represent just a fraction of the attackers’ potential. Each plugin is assigned a unique plugin ID number (WORD), such as 0x8000, 0x8002, 0x8004, 0x8006, etc. All plugin IDs are even numbers and they all start from byte 0x80. The biggest plugin ID we have seen is 0x80CA,” Kasperksky says.

The most interesting modules which have been uncovered to date contain functions such as network traffic interception and rerouting and reverse DNS resolution. In addition, some modules focus on computer management and are able to start and stop processes, load drivers and libraries, and gather information about a victim including OS version, location, keyboard layout and timezone. Other interesting functionalities include:

  • Collection of cached passwords.
  • Enumeration of processes and other system objects.
  • Monitoring live user activity in web browsers.
  • Low-level NTFS filesystem access based on the popular Sleuthkit framework.
  • Monitoring removable storage drives.
  • Passive network backdoor (runs Equation shellcode from raw traffic).
  • HDD and SSD firmware manipulation.
  • Keylogging and clipboard monitoring.
  • Browser history, cached passwords and form auto-fill data collection.

The Equation Group is not the only threat actor to use an espionage platform. Regin and Epic Turla also use the same tactic in their campaigns.

An analysis of the platform suggests that developers are English-speaking. However, as noted by Kaspersky, there is a limit number of text strings so its hard to tell if the developers were native. Kaspersky also says the working hours of Equation developers tend to be within the Monday to Friday bracket, and in the UTC timezone, hours worked appear to relate to the traditional 9-5 working day.

EquationDrug has been in use for at least the past 10 years, but considering the existence of components designed to run on Windows 9x, the security researchers believe The Equation Group may have been in operation since the 1990’s. The platform, potentially used by nation-state attackers considering its sophistication, budget and size, separates itself from traditional cybercriminals due to the groups’ sophisticated framework and selection of particular victims. Kaspersky says:

“It is clear that nation-state attackers are looking for better stability, invisibility, reliability and universality in their cyberespionage tools. You can make a basic browser password-stealer or a sniffer within days. However, nation-states are focused on creating frameworks for wrapping such code into something that can be customized on live systems and provide a reliable way to store all components and data in encrypted form, inaccessible to normal users.

While traditional cybercriminals mass-distribute emails with malicious attachments or infect websites on a large scale, nation-states create automatic systems infecting only selected users. While traditional cybercriminals typically reuse one malicious file for all victims, nation-states prepare malware unique to each victim and even implement restrictions preventing decryption and execution outside of the target computer.”

Fuente: http://www.zdnet.com/

 

Anuncios

Guerra virtual ‘en vivo’: Crean un mapa de ciberataques en tiempo real

Honey Maps

Honey Maps

HoneyNet Project, una organización sin fines de lucro, creó un mapa que muestra en tiempo real una parte de los ciberataques que tienen lugar por todo el mundo.
Llamado ‘HoneyMap’, el mapa se ubica en el portal map.honeynet.org.  Para su funcionamiento utiliza la información obtenida por varios sensores denominados ‘honeypot’ (señalados en amarillo) que simulan ser equipos vulnerables para poder registrar los ataques.

¿Cómo funciona?

En cuanto el atacante ve un ordenador miembro de una red convencional desprotegido, aprovecha la oportunidad de realizar el ciberataque e ingresa o envía ‘malware’ al ordenador. Debido a que el último está especialmente preparado para ello, detecta el origen del paquete, analizando las IP atacantes.

En unos instantes las señales capturadas se envían al mapa mostrando en color rojo su procedencia.

Mucho por hacer

La mayoría de las personas ni siquiera sospechan que sus equipos están infectados”

El proyecto, que muestra actividad constante en Rusia, América Latina, EE.UU. y Europa, está integrado tanto por el trabajo de los ‘hackers’ a cargo de HoneyNet Project, así como por miembros voluntarios que participan en el proyecto.

Sus creadores, Florian Weingarten y Mark Schloesser, residentes de Alemania, afirman que su proyecto es “altamente experimental” y que por ahora no es muy representativo, ya que de momento sólo se publica una pequeña parte de todos los ciberataques.

“La mayoría de las personas ni siquiera sospechan que sus equipos están infectados”, aseguró Weingarten. “Atacan a otros sistemas sin saberlo. Así que la lección a aprender es: ¡mantengan su propio sistema seguro!”.

¿Cuáles son los países de América Latina más vulnerables al ciberespionaje?

Latinoamérica es una de las regiones del planeta más expuestas a los ciberataques, que han estado afectando a entidades militares, diplomáticas y gubernamentales de países como Colombia, Venezuela y Ecuador desde el 2010.

Ciudadanos y organizaciones de Brasil, México, Venezuela y Perú son las principales víctimas. El director del equipo de seguridad y análisis para América Latina de Kaspersky, Dmitri Bestúzhev, afirmó que “no se puede especular sobre el origen de los ataques, aunque se sabe que quien está detrás de esto habla español y es de Latinoamérica. Se han robado cientos de gigabytes de información clasificada”, a lo que añadió también que “al menos 775 personas y otras entidades se han visto afectadas”.

En Latinoamérica, Brasil es el país más expuesto a los crímenes cibernéticos. En 2013 fue víctima de entre el 33 % y el 43% de los ataques en la región, sostuvo el especialista.

Bestúzhev, quien participó en la Cuarta Cumbre de Analistas de Seguridad, indicó que el espionaje cibernético también afectó a las misiones diplomáticas de Rusia, Francia, China, Bélgica y España en los países latinoamericanos. “A los atacantes no les interesaba el dinero, sino información clasificada de carácter militar, estratégica y todo lo relacionado con la seguridad y de los servicios de Inteligencia de un Gobierno”, remarcó Bestúzhev.

La compañía rusa Kaspersky Lab denominó ‘Machete’ esta oleada de ataques que fue descubierta cuando un general de un Estado latinoamericano viajó a China y sospechó que su ordenador había sido vulnerado. El militar contactó con el servicio de asistencia de su antivirus, Kaspersky Lab, quienes hallaron en su dispositivo un paquete de Java con librerías de grabación de archivos de audio, archivos cifrados y archivos con lenguajes de programación.

Detrás de Machete podría esconderse un servicio de espionaje de un país latinoamericano

La investigación de Machete por parte de la compañía rusa les llevó a concluir que este virus era parecido a lo que se conoce en términos informáticos como ‘troyano’, solo que este era desconocido hasta el momento, por lo que las bases de datos de los antivirus no lo detectaron antes. Se sospecha que este virus se infiltraba en los equipos cuando sus víctimas descargaban archivos de Power Point especialmente creados, de acuerdo con el perfil del usuario objetivo, con material pornográfico, bélico o político.

El virus permitía interceptar otros dispositivos de hardware como teclados y micrófonos, tomar capturas de pantalla y registrar físicamente a las víctimas para robar y filtrar información a páginas web que controlaba su diseñador, desde donde descargaba los datos a un dispositivo de almacenamiento físico o virtual desconocido de momento. Desde Kaspersky no descartan que detrás de Machete se encuentre algún servicio de espionaje de la misma región latinoamericana.

América Latina es una de las regiones del mundo más expuestas a las vulneraciones informáticas provocadas por softwares malignos o malware.

Fuente: http://actualidad.rt.com/actualidad/

Snowden destapa a MonsterMind, el antivirus de la NSA

La NSA prepara MonsterMind, un bot anti-malware

La NSA prepara MonsterMind, un bot anti-malware

Edward Snowden, al que algunos conocen como “el hombre más buscado del mundo”, ha revelado nuevos datos sobre la NSA. Uno de estos datos tiene mucho que ver con el proyecto MonsterMind, que tiene como objetivo eliminar todo el malware que se detecte en las redes a nivel mundial.

MonsterMind aparentemente parece una gran idea, aunque para eliminar todo el malware hay que atacar a la privacidad para descubrir si es malware o no. Esto supondría un escaneo constante de redes de datos, que puede que a más de uno no le haga gracia alguna.

Por otro lado, Matt Blaze, profesor en la Universidad de Pensilvania, reconocía que estos ataques pueden detectarse a través de un patrón en los metadatos de esos paquetes de información. Este patrón sería capaz de detectar y eliminar el malware, antes de que afectase al dispositivo.

Este nuevo proyecto, no solamente tendría la capacidad de poder anular estos ataques maliciosos, sino que incluso podría contraatacar detectando al responsable/s de esos ataques y yendo a por él/ellos. Detectar estos ataques supone un rastreo profundo por parte de la NSA para que recoja y analice todo el tráfico de Internet, detectando así lo malo.

Hace años, DARPA había lanzado algo similar, el llamado Plan X. En estos momentos desconocemos el estado actual en el que se encuentra, por lo que podría estar siguiéndonos el rastro o inactivo. Estamos efectivamente ante proyectos que para mejorar y ayudarnos con la seguridad, deben atacar antes a nuestra privacidad.

Fuente:http://www.elgrupoinformatico.com