EquationDrug: Sophisticated, stealthy data theft for over a decade

ramnit-header-imagecredsymantec.jpg
Far beyond the capabilities of traditional cybercriminals, The Equation Group’s EquationDrug platform is used to target select victims worldwide.

Kaspersky has published additional details concerning The Equation Group’s toolset, and has revealed the EquationDrug cyberespionage platform as a potent and long-lasting campaign.

Originally revealed at the Kaspersky Labs Security Analyst Summit in February, the security firm said a cybercriminal group dubbed “The Equation Group” surpasses all others in complexity and techniques. Deemed the “ancestor” of Stuxnet and Flame, as Zero Days were used by The Equation Group before other threat actors — and potentially shared by them — additional details concerning the group’s activities now suggest the group may have been in operation since the 1990’s.

According to Kaspersky Lab researchers, The Equation Group uses expensive tools and sophisticated Trojans to steal data from their victims, and they also use “classic” spying techniques to deliver malicious payloads. Tools used by the group include EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish.

The threat actors use a command and control (C&C) center compromising of over 300 domains and more than 100 servers hosted in countries including the US and UK. One part of the network is EquationDrug, a full cyberespionage platform which dates back to 2003. Kaspersky says EquationDrug is the main platform used by the group in cyberespionage. EquationDrug is the main platform used by the group in cyberespionage.

EquationDrug includes a framework which allows specific modules to be deployed on the machines of victims. The platform can be extended through plugins and modules, but is pre-built with a default set of plugins which support basic spying activities — such as file theft and screenshot capture.

However, the EquationDrug platform does show elements of sophistication through the storage of stolen data inside a custom-encrypted virtual file system before it is sent to the C&C center.

When it comes to platform architecture, EquationDrug includes dozens of executables, configurations and protected storage locations. EquationDrug resembles a “mini operating system,” according to Kaspersky, due to the use of kernel-mode and user-mode components which interact with each other via a custom message-passing interface. The platform also includes a set of drivers, a platform core and individually labeled plugins. Some modules are statically linked to the platform core, while others load on demand, according to the team.

equationdrug1.jpg

To date, Kaspersky has uncovered 30 unique plugin IDs, but admits that up to 86 other modules are still in the wild and have yet to be discovered.

“The plugins we discovered probably represent just a fraction of the attackers’ potential. Each plugin is assigned a unique plugin ID number (WORD), such as 0x8000, 0x8002, 0x8004, 0x8006, etc. All plugin IDs are even numbers and they all start from byte 0x80. The biggest plugin ID we have seen is 0x80CA,” Kasperksky says.

The most interesting modules which have been uncovered to date contain functions such as network traffic interception and rerouting and reverse DNS resolution. In addition, some modules focus on computer management and are able to start and stop processes, load drivers and libraries, and gather information about a victim including OS version, location, keyboard layout and timezone. Other interesting functionalities include:

  • Collection of cached passwords.
  • Enumeration of processes and other system objects.
  • Monitoring live user activity in web browsers.
  • Low-level NTFS filesystem access based on the popular Sleuthkit framework.
  • Monitoring removable storage drives.
  • Passive network backdoor (runs Equation shellcode from raw traffic).
  • HDD and SSD firmware manipulation.
  • Keylogging and clipboard monitoring.
  • Browser history, cached passwords and form auto-fill data collection.

The Equation Group is not the only threat actor to use an espionage platform. Regin and Epic Turla also use the same tactic in their campaigns.

An analysis of the platform suggests that developers are English-speaking. However, as noted by Kaspersky, there is a limit number of text strings so its hard to tell if the developers were native. Kaspersky also says the working hours of Equation developers tend to be within the Monday to Friday bracket, and in the UTC timezone, hours worked appear to relate to the traditional 9-5 working day.

EquationDrug has been in use for at least the past 10 years, but considering the existence of components designed to run on Windows 9x, the security researchers believe The Equation Group may have been in operation since the 1990’s. The platform, potentially used by nation-state attackers considering its sophistication, budget and size, separates itself from traditional cybercriminals due to the groups’ sophisticated framework and selection of particular victims. Kaspersky says:

“It is clear that nation-state attackers are looking for better stability, invisibility, reliability and universality in their cyberespionage tools. You can make a basic browser password-stealer or a sniffer within days. However, nation-states are focused on creating frameworks for wrapping such code into something that can be customized on live systems and provide a reliable way to store all components and data in encrypted form, inaccessible to normal users.

While traditional cybercriminals mass-distribute emails with malicious attachments or infect websites on a large scale, nation-states create automatic systems infecting only selected users. While traditional cybercriminals typically reuse one malicious file for all victims, nation-states prepare malware unique to each victim and even implement restrictions preventing decryption and execution outside of the target computer.”

Fuente: http://www.zdnet.com/

 

“CON LA IMPLANTACIÓN DE HTTP 2.0 SE PUEDEN GENERAR ATAQUES ENCRIPTADOS QUE POCAS TECNOLOGÍAS PUEDEN DETECTAR”: RICARDO MATÉ, F5


La seguridad de las aplicaciones es una de las mayores preocupaciones actuales de las empresas, una preocupación que seguirá creciendo. Los ataques DDoS son los que más suenan, pero no los que más daño hacen, “los ataques al DNS por ejemplo están haciendo mucho más daño”, afirma Maté.

Con la implantación de HTTP 2.0 se pueden generar ataques encriptados que pocas tecnologías pueden detectar, es necesario tener mecanismos para manejar este contenido encriptado. “Las empresas están trazando planes para protegerse, pero todo lo que se haga es poco”.

En cuanto a las tendencias de las amenazas, como explica el director general de F5, es difícil prever qué tipo de ataques va a haber, ya no se trata de aficionados, sino de mafias organizadas en busca de los datos y el dinero. 

También hablamos con Ricardo Maté sobre la evolución hacia la seguridad de F5 desde su posición como proveedor de disponibilidad de las aplicaciones. Más del 30% de su negocio actualmente proviene de la seguridad.

Fuente: http://globbsecurity.com/

Servicio Antibotnet, la amenaza de las redes zombies

Imagen decorativa post servicio AntiBotnet

El servicio AntiBotnet de la OSI te permite conocer si desde tu conexión a Internet hay algún equipo que pueda estar afectado por una botnet y en caso afirmativo, te orienta con información y herramientas de desinfección.
El Servicio AntiBotnet pone a tu disposición un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets (ordenadores infectados con un tipo de virus que es capaz de controlar el equipo de forma remota para llevar a cabo acciones maliciosas) asociados a tu conexión a Internet. Para ello se chequea la dirección IP pública que tengas asignada en cada momento contra nuestra base de datos. La finalidad del servicio es proporcionarte información y herramientas que puedan ayudarte en la desinfección de los dispositivos afectados, contribuyendo así a un Internet más confiable y seguro para todos. El servicio AntiBotnet es fruto de una estrecha colaboración público-privada, entre la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), INTECO y los principales operadores de Internet nacionales.
El servicio AntiBotnet complementa a otros nuevos servicios que hemos puesto en marcha a lo largo de este año (CONAN mobile, Historias reales, y “Qué deberías saber”). Con una nueva imagen desde junio, la OSI evoluciona manteniendo la esencia. A través de nuestra página web (www.osi.es) queremos ayudarte a evitar y resolver los problemas de seguridad que pueden existir al navegar por Internet. Por eso, hemos puesto a tu disposición contenidos multimedia, herramientas para proteger tu smartphone y tableta, un sistema de alerta de amenazas, etc. Además contamos con un servicio de atención al internauta donde podremos resolver tus dudas y problemas relacionados con la seguridad online.

Fuente:https://www.osi.es/es/

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco ha presentado hoy el primer firewall de próxima generación (NGFW, Next-Generation Firewall) de la industria enfocado en las amenazas avanzadas, diseñado para cambiar la forma en que las organizaciones se protegen frente a las amenazas más sofisticadas.

Cisco ASA con Servicios FirePOWER proporciona toda la información contextual y los controles dinámicos necesarios para analizar las amenazas de manera automática, correlacionar inteligencia y optimizar las defensas con el fin último de proteger todas las redes.

Al integrar el contrastado firewall Cisco ASA 5500 Series con control de aplicaciones con los sistemas de Prevención de Intrusiones de próxima generación (NGIPS, Next-Generation Intrusion Prevention Systems) y la Protección frente a Malware Avanzado (AMP, Advanced Malware Protection) de Sourcefire, Cisco proporciona una defensa integrada frente a las amenazas en todas las etapas de los ataques: antes, durante y después.

Cisco ASA con Servicios FirePOWER constituye así una nueva generación de sistemas NGFW con mayores capacidades, adaptivos y enfocados en las amenazas que facilitan una protección multi-capa superior. Hasta ahora, los equipos NGFW se han centrado en el control de políticas y aplicaciones, siendo incapaces de proteger frente a las amenazas avanzadas y los ataques de día cero. Cisco ASA con Servicios FirePOWER transforma este escenario, ofreciendo una aproximación con completa visibilidad, enfocada en las amenazas y basada en plataforma:

  • Completa visibilidad, ofreciendo información contextual de usuarios, dispositivos móviles, aplicaciones cliente, comunicaciones máquina-a-máquina virtuales, vulnerabilidades, amenazas, URLs y otra información telemétrica relevante. Sus capacidades de gestión de clase empresarial proporcionan a los usuarios cuadros de mando e informes estructurados sobre hosts, aplicaciones, amenazas e indicadores de compromiso (IoCs) descubiertos para obtener así una completa visibilidad.
  • Enfocada en las amenazas, incorporando sistemas de Prevención de Intrusiones de próxima generación para facilitar una completa protección frente a amenazas conocidas y avanzadas, así como Protección frente a Malware Avanzado, ataques de día cero y ataques persistentes. Su analítica de Big Data, la funcionalidad de análisis continuo y Cisco Collective Security Intelligence (CSI) trabajan conjuntamente para proporcionar capacidades de detección, bloqueo, seguimiento, análisis y eliminación que permiten a las organizaciones protegerse frente a todo el espectro de ataques, conocidos y no conocidos.
  • Basada en plataforma, combinando en un mismo dispositivo funcionalidad firewall contrastada y control de aplicaciones, capacidad de prevención de intrusiones de próxima generación líder y detección y eliminación avanzada de brechas de seguridad. Esta integración proporciona a las organizaciones una mayor protección a la par que minimiza la complejidad y los costes operativos reduciendo el número de dispositivos de seguridad que se necesitan desplegar y gestionar, además de evitar la adquisición de licencias añadidas que tradicionalmente se necesitan para ampliar la funcionalidad de los equipos heredados.

Como consecuencia del actual escenario de amenazas -que evolucionan rápidamente en número y complejidad- y de los cambiantes modelos de negocio, las organizaciones deben transformar sus estrategias de seguridad reduciendo el tiempo que se tarda en mitigar las amenazas mediante una aproximación verdaderamente integrada y enfocada en las amenazas.

Igualmente, frente a la posibilidad del robo de propiedad intelectual o información confidencial y la consecuente pérdida de credibilidad, se requiere una completa cobertura de todos los vectores de ataque potenciales y la capacidad de aprender de nuevos métodos de ataque para después aplicar dicha inteligencia en beneficio propio. Cisco ASA con Servicios FirePOWER ofrece esa defensa integrada frente a amenazas para ayudar verdaderamente a los negocios a protegerse frente al mayor riesgo de seguridad: las amenazas avanzadas y los ataques de día cero.

Cisco ASA con Servicios FirePOWER proporciona una visibilidad superior y un análisis continuo para detectar amenazas avanzadas multi-vector y optimizar y automatizar la respuesta tanto para el malware conocido como para el no conocido. También ofrece funcionalidad holística de Indicadores de Compromiso para acelerar el análisis de amenazas y la eliminación retrospectiva, así como respuesta integrada frente a incidentes y detección de actualización de políticas automática.

Todas estas novedades se apoyan en un firewall con seguimiento de estado de clase empresarial, VPN, clustering avanzado y controles granulares de capa de aplicaciones y basados en el riesgo que evocan las políticas NGIPS personalizadas de detección de intrusiones para optimizar su efectividad. Además, la integración de seguridad open source con Snort, OpenAppID y ClamAV permite a las organizaciones personalizar la seguridad de forma sencilla para responder a nuevas amenazas o amenazas y aplicaciones específicas tan rápido como sea posible.

Las organizaciones pueden aprovechar las ventajas de esta nueva solución de dos maneras:

  • Cisco ASA con Servicios FirePOWER (los clientes pueden adquirir los equipos ASA 5500-X Series y ASA 5585-X Series con una licencia de Servicios FirePOWER).
  • Servicios FirePOWER para Cisco ASA (los clientes pueden habilitar los servicios FirePOWER en sus actuales equipos ASA 5500-X Series y ASA 5585-X Series).

Junto a sus partners, Cisco también ofrece servicios de seguridad técnicos y profesionales para ayudar a los negocios a acelerar la migración desde sus actuales entornos de seguridad hacia la nueva aproximación de defensa integrada frente a amenazas que proporciona Cisco ASA con Servicios FirePOWER. Avalados por una gran experiencia, herramientas y procesos contrastados y disponibilidad global, los servicios de seguridad de Cisco ayudan a las organizaciones a realizar esta transformación con rapidez y de manera sencilla.