ESET, видимо, копались в своих прошлых исследованиях и обнаружили поразительное сходство в коде одного из инструментов, использованного в 2018 году в атаке на разработчика компьютерных игр из Тайланда, приписываемой группе Winnti, с аналогичным кодом из утечки Lost in Translation, организованной в 2017 году группой Shadow Brokers.
Напомним, что тогда Shadow Brokers выкинули в сеть инструментарий хакерской группы Equation, действующей под крышей АНБ.
И теперь у исследователей возникли вопросы - это китайская группа Winnti использовала утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И вообще, насколько легко можно намерено ввести инфосек ресерчеров в заблуждение, подделывая признаки принадлежности TTPs другой хакерской группе?
А мы зададимся еще более провокационным вопросом - а можно ли быть уверенным, что некоторые операции, приписываемые китайским хакерским группам, на самом деле не проводились американцами?
Потому что в процессе изучения активности китайской же APT 41 у нас подобные мысли, чего греха таить, возникали.
#APT #Winnti #Equation
https://twitter.com/ESETresearch/status/1258353960781598721
Напомним, что тогда Shadow Brokers выкинули в сеть инструментарий хакерской группы Equation, действующей под крышей АНБ.
И теперь у исследователей возникли вопросы - это китайская группа Winnti использовала утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И вообще, насколько легко можно намерено ввести инфосек ресерчеров в заблуждение, подделывая признаки принадлежности TTPs другой хакерской группе?
А мы зададимся еще более провокационным вопросом - а можно ли быть уверенным, что некоторые операции, приписываемые китайским хакерским группам, на самом деле не проводились американцами?
Потому что в процессе изучения активности китайской же APT 41 у нас подобные мысли, чего греха таить, возникали.
#APT #Winnti #Equation
https://twitter.com/ESETresearch/status/1258353960781598721
Twitter
#ESETresearch stumbled upon strange samples which use the packer we described in publications on the #Winnti Group. The payload in these samples is an implant attributed to Equation. It is known as PeddleCheap according to the project names seen in the Shadow…
Однако самым интересным приемом, от которого в осадок выпали все инфосек эксперты, стала возможность вредоносов Equation по перепрошивке жестких дисков. Malware меняла стоковую прошивку и выделяла для своих нужд скрытую часть диска, где могла хранить себя и краденные данные (помечала как битые сектора). Таким образом, вредонос не только создавал скрытое надежное хранилище, но самое главное – его практически невозможно было убрать с зараженного HDD. Только физическим удалением диска или его перепрошивкой. Ни переустановка операционной системы, ни форматирование жесткого диска не помогали.
Одна из поздних версий GrayFish, например, могла перепрошивать жесткие диски 12 брендов, среди которых – Western Digital, Samsung, Seagate, Maxtor и другие. Но самый сок в том, что вредоносы в ряде случаев для перепрошивки использовали множество недокументированных команд, о которых знали только производители. И снова две версии имеют право на жизнь – либо АНБ получали данные от производителей, пользуясь административными рычагами, либо Equation совершали глубокие проникновения в сети вендоров, добывая конфиденциальную информацию из скомпрометированных систем.
Активность Equation также впечатляла – Касперские говорили о 2000 целевых заражениях в месяц, кибероперации были направлены против ресурсов более чем 30 стран. В инфраструктуру хакеров входило более чем 300 доменов на более чем 100 серверах.
Отдельный интерес вызвало присутствие признаков того, что Equation была способна атаковать не только системы под управлением Windows. В частности, хакеры взламывали компьютеры с Mac OS X (ныне macOS), а также iPhone. И никакие GreyKey не нужны.
Сразу после доклада Лаборатории Касперского в инфосек сообществе начались попытки установить принадлежность Equation, тем более что сама ЛК никакого мнения по сему поводу не высказала.
Тем не менее, часть данных достаточно достоверно указывала на АНБ:
- кейлоггер Grok, принадлежащий Equation, упоминался Сноуденом в своем сливе;
- найденное в коде Equation название StraitShooter также коррелирует с данными Сноудена, документы которого содержали информацию о вредоносе StraitBizarre, который «может превращаться в «shooter».
Был еще ряд признаков, указывающих на связь между Equation и АНБ, в первую очередь, касающихся сходств вредоносов этой группы с кибершпионским ПО Stuxnet, DuQu, Flame и Gauss, использовавшихся в кибероперациях, приписываемых спецслужбам США и их союзников.
Также Виртуальная файловая система, которая эксплуатировалась Equation в более продвинутом виде, использовалась во вредоносе Regin. А Regin, детище разведсообщества FiveEyes, активно применяется в операциях кибершпионажа аж с 2003 года. И да, если вы этого не знаете, именно с помощью Regin в конце 2018 года распотрошили внутреннюю сеть Яндекса – типичная атака на цепочку поставок с целью внедрения своих бэкдоров в стороннее ПО.
Но, все же, однозначный вывод сделать было сложно. Сноуден сказать точно ничего не мог, поскольку был аналитиком и имел доступ только к верхнеуровневым документам, не содержащим технические подробности.
#APT #Equation
Одна из поздних версий GrayFish, например, могла перепрошивать жесткие диски 12 брендов, среди которых – Western Digital, Samsung, Seagate, Maxtor и другие. Но самый сок в том, что вредоносы в ряде случаев для перепрошивки использовали множество недокументированных команд, о которых знали только производители. И снова две версии имеют право на жизнь – либо АНБ получали данные от производителей, пользуясь административными рычагами, либо Equation совершали глубокие проникновения в сети вендоров, добывая конфиденциальную информацию из скомпрометированных систем.
Активность Equation также впечатляла – Касперские говорили о 2000 целевых заражениях в месяц, кибероперации были направлены против ресурсов более чем 30 стран. В инфраструктуру хакеров входило более чем 300 доменов на более чем 100 серверах.
Отдельный интерес вызвало присутствие признаков того, что Equation была способна атаковать не только системы под управлением Windows. В частности, хакеры взламывали компьютеры с Mac OS X (ныне macOS), а также iPhone. И никакие GreyKey не нужны.
Сразу после доклада Лаборатории Касперского в инфосек сообществе начались попытки установить принадлежность Equation, тем более что сама ЛК никакого мнения по сему поводу не высказала.
Тем не менее, часть данных достаточно достоверно указывала на АНБ:
- кейлоггер Grok, принадлежащий Equation, упоминался Сноуденом в своем сливе;
- найденное в коде Equation название StraitShooter также коррелирует с данными Сноудена, документы которого содержали информацию о вредоносе StraitBizarre, который «может превращаться в «shooter».
Был еще ряд признаков, указывающих на связь между Equation и АНБ, в первую очередь, касающихся сходств вредоносов этой группы с кибершпионским ПО Stuxnet, DuQu, Flame и Gauss, использовавшихся в кибероперациях, приписываемых спецслужбам США и их союзников.
Также Виртуальная файловая система, которая эксплуатировалась Equation в более продвинутом виде, использовалась во вредоносе Regin. А Regin, детище разведсообщества FiveEyes, активно применяется в операциях кибершпионажа аж с 2003 года. И да, если вы этого не знаете, именно с помощью Regin в конце 2018 года распотрошили внутреннюю сеть Яндекса – типичная атака на цепочку поставок с целью внедрения своих бэкдоров в стороннее ПО.
Но, все же, однозначный вывод сделать было сложно. Сноуден сказать точно ничего не мог, поскольку был аналитиком и имел доступ только к верхнеуровневым документам, не содержащим технические подробности.
#APT #Equation
Однако, спустя полтора года инфосек сообщество получило подтверждение принадлежности Equation АНБ и это подтверждение вышло очень громким.
13 августа 2016 года в только что зарегистрированной учетке Твиттера shadowbrokers появилось несколько записей, в которых объявлялось о начале аукциона по продаже кибероружия группы Equation, а также приводились ссылки на GitHub и Pastebin, где содержалось обращение хакерской группы Shadow Brokers и примеры украденных данных. В обращении хакеры утверждали, что Equation являются авторами таких вредоносов как Stuxnet, Duqu и Flame.
В течение пяти сливов с августа 2016 по 14 апреля 2017 Shadow Brokers выкинули в паблик большое количество данных об Equation, самыми разрушительными из которых стала информация последнего слива, который хакеры назвали Lost In Translation и который содержал ряд эксплойтов неизвестных до момента вброса уязвимостей.
Спустя месяц, 12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего принадлежащие Equation эксплойт EternalBlue и бэкдор DoublePulsar, содержавшиеся в Lost In Translation (автором WannaCry считается северокорейская APT Lazarus). По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов.
Интересно, что Microsoft объявили о закрытии уязвимости, эксплуатируемой EternalBlue, на месяц раньше слива Shadow Brockers (как будто заранее что-то знали), но многие забили на своевременный апдейт своих операционных систем.
Но еще более интересно то, что данные АНБ, похоже, утекли к Shadow Brokers еще в 2013 году. То есть более 4 лет существовал ряд неизвестных инфосек индустрии уязвимостей, которые активно использовали Equation. И опять же, может быть два варианта – либо хакеры АНБ настолько гениальны, что скопом находят дырки, которые годами не могут найти другие эксперты, либо эти уязвимости закладываются в ПО на стадии разработки. И почему-то нам кажется более вероятным второе.
И, как вишенка на торте, приблизительно тогда же, в марте 2017 года произошла утечка данных Vault 7, организованная WikiLeaks, в которой содержались сведения про другую американскую хакерскую группу Longhorn aka Lambert, курируемую ЦРУ. И в числе прочего в слитых документах было найдено онлайн-обсуждение, организованное хакерами ЦРУ через два дня после доклада Лаборатории Касперского на SAS, в котором американцы рассуждали о том, что АНБ сделала неправильно и как ЦРУ избежать подобного раскрытия своей хакерской деятельности. После этого стало окончательно ясно, что Equation – это Управление по организации спецдоступа АНБ (ТАО NSA).
После своего громкого разоблачения Equation ушли в тину. Нет, они не перестали работать, но поменяли свои методики и инструменты, так что четких следов их операций на данный момент нет.
Итак, резюмируем. APT Equation – это подразделение (либо его большая часть) АНБ, которое сейчас переименовалось и называется Управление по компьютерным сетевым операциям (CNO). Хакерская группа функционирует, как минимум, с начала 2000-х, а скорее – с середины 90-х годов. Использует в своей деятельности большое количество аппаратных и программных уязвимостей, часть из которых, как мы полагаем, закладывается при участии АНБ на стадии проектирования. Проводит не только взломы в интересах АНБ, но и сбор разведывательных данных о работе других хакерских групп. И делится своими инструментами и наработками с союзными хакерами из стран Five Eyes и Израиля.
И, напоследок, интересное наблюдение – в своих последних наездах на Huawei американцы продемонстрировали знание некоторых технических подробностей, которые не могли быть получены без глубокого проникновения в китайские сети. Наверняка, Equation сыграла в этом не последнюю роль.
#APT #Equation
13 августа 2016 года в только что зарегистрированной учетке Твиттера shadowbrokers появилось несколько записей, в которых объявлялось о начале аукциона по продаже кибероружия группы Equation, а также приводились ссылки на GitHub и Pastebin, где содержалось обращение хакерской группы Shadow Brokers и примеры украденных данных. В обращении хакеры утверждали, что Equation являются авторами таких вредоносов как Stuxnet, Duqu и Flame.
В течение пяти сливов с августа 2016 по 14 апреля 2017 Shadow Brokers выкинули в паблик большое количество данных об Equation, самыми разрушительными из которых стала информация последнего слива, который хакеры назвали Lost In Translation и который содержал ряд эксплойтов неизвестных до момента вброса уязвимостей.
Спустя месяц, 12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего принадлежащие Equation эксплойт EternalBlue и бэкдор DoublePulsar, содержавшиеся в Lost In Translation (автором WannaCry считается северокорейская APT Lazarus). По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов.
Интересно, что Microsoft объявили о закрытии уязвимости, эксплуатируемой EternalBlue, на месяц раньше слива Shadow Brockers (как будто заранее что-то знали), но многие забили на своевременный апдейт своих операционных систем.
Но еще более интересно то, что данные АНБ, похоже, утекли к Shadow Brokers еще в 2013 году. То есть более 4 лет существовал ряд неизвестных инфосек индустрии уязвимостей, которые активно использовали Equation. И опять же, может быть два варианта – либо хакеры АНБ настолько гениальны, что скопом находят дырки, которые годами не могут найти другие эксперты, либо эти уязвимости закладываются в ПО на стадии разработки. И почему-то нам кажется более вероятным второе.
И, как вишенка на торте, приблизительно тогда же, в марте 2017 года произошла утечка данных Vault 7, организованная WikiLeaks, в которой содержались сведения про другую американскую хакерскую группу Longhorn aka Lambert, курируемую ЦРУ. И в числе прочего в слитых документах было найдено онлайн-обсуждение, организованное хакерами ЦРУ через два дня после доклада Лаборатории Касперского на SAS, в котором американцы рассуждали о том, что АНБ сделала неправильно и как ЦРУ избежать подобного раскрытия своей хакерской деятельности. После этого стало окончательно ясно, что Equation – это Управление по организации спецдоступа АНБ (ТАО NSA).
После своего громкого разоблачения Equation ушли в тину. Нет, они не перестали работать, но поменяли свои методики и инструменты, так что четких следов их операций на данный момент нет.
Итак, резюмируем. APT Equation – это подразделение (либо его большая часть) АНБ, которое сейчас переименовалось и называется Управление по компьютерным сетевым операциям (CNO). Хакерская группа функционирует, как минимум, с начала 2000-х, а скорее – с середины 90-х годов. Использует в своей деятельности большое количество аппаратных и программных уязвимостей, часть из которых, как мы полагаем, закладывается при участии АНБ на стадии проектирования. Проводит не только взломы в интересах АНБ, но и сбор разведывательных данных о работе других хакерских групп. И делится своими инструментами и наработками с союзными хакерами из стран Five Eyes и Израиля.
И, напоследок, интересное наблюдение – в своих последних наездах на Huawei американцы продемонстрировали знание некоторых технических подробностей, которые не могли быть получены без глубокого проникновения в китайские сети. Наверняка, Equation сыграла в этом не последнюю роль.
#APT #Equation