Equation Group: The Crown Creator of Cyber-Espionage

16 Feb 2015
Virus News

For several years, Kaspersky Lab’s Global Research and Analysis Team (GReAT) has been closely monitoring more than 60 advanced threat actors responsible for cyber-attacks worldwide. The team has seen nearly everything, with attacks becoming increasingly complex as more nation-states got involved and tried to arm themselves with the most advanced tools. However, only now Kaspersky Lab’s experts can confirm they have discovered a threat actor that surpasses anything known in terms of complexity and sophistication of techniques, and that has been active for almost two decades – The Equation Group.

According to Kaspersky Lab researchers the group is unique almost in every aspect of their activities: they use tools that are very complicated and expensive to develop, in order to infect victims, retrieve data and hide activity in an outstandingly professional way, and utilize classic spying techniques to deliver malicious payloads to the victims.

To infect their victims, the group uses a powerful arsenal of “implants” (Trojans) including the following that have been named by Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish. Without a doubt there will be other “implants” in existence.


Ultimate persistence and invisibility

GReAT has been able to recover two modules which allow reprogramming of the hard drive firmware of more than a dozen of the popular HDD brands. This is perhaps the most powerful tool in the Equation group’s arsenal and the first known malware capable of infecting the hard drives.

By reprogramming the hard drive firmware (i.e. rewriting the hard drive’s operating system), the group achieves two purposes:

  1. An extreme level of persistence that helps to survive disk formatting and OS reinstallation. If the malware gets into the firmware, it is available to “resurrect” itself forever. It may prevent the deletion of a certain disk sector or substitute it with a malicious one during system boot.
    “Another dangerous thing is that once the hard drive gets infected with this malicious payload, it is impossible to scan its firmware. To put it simply: for most hard drives there are functions to write into the hardware firmware area, but there are no functions to read it back. It means that we are practically blind, and cannot detect hard drives that have been infected by this malware” – warns Costin Raiu, Director of the Global Research and Analysis Team at Kaspersky Lab.
  2. The ability to create an invisible, persistent area hidden inside the hard drive. It is used to save exfiltrated information which can be later retrieved by the attackers. Also, in some cases it may help the group to crack the encryption: “Taking into account the fact that their GrayFish implant is active from the very boot of the system, they have the ability to capture the encryption password and save it into this hidden area,” explains Costin Raiu.

Ability to retrieve data from isolated networks

The Fanny worm stands out from all the attacks performed by the Equation group. Its main purpose was to map air-gapped networks, in other words – to understand the topology of a network that cannot be reached, and to execute commands to those isolated systems. For this, it used a unique USB-based command and control mechanism which allowed the attackers to pass data back and forth from air-gapped networks.

In particular, an infected USB stick with a hidden storage area was used to collect basic system information from a computer not connected to the Internet and to send it to the C&C when the USB stick was plugged into a computer infected by Fanny and having an Internet connection. If the attackers wanted to run commands on the air-gapped networks, they could save these commands in the hidden area of the USB stick. When the stick was plugged into the air-gapped computer, Fanny recognized the commands and executed them.

Classic spying methods to deliver malware

The attackers used universal methods to infect targets: not only through the web, but also in the physical world. For that they used an interdiction technique – intercepting physical goods and replacing them with Trojanized versions. One such example involved targeting participants at a scientific conference in Houston: upon returning home, some of the participants received a copy of the conference materials on a CD-ROM which was then used to install the group’s DoubleFantasy implant into the target’s machine. The exact method by which these CDs were interdicted is unknown.


There are solid links indicating that the Equation group has interacted with other powerful groups, such as the Stuxnet and Flame operators – generally from a position of superiority. The Equation group had access to zero-days before they were used by Stuxnet and Flame, and at some point they shared exploits with others.


For example, in 2008 Fanny used two zero-days which were introduced into Stuxnet in June 2009 and March 2010. One of those zero-days in Stuxnet was actually a Flame module that exploits the same vulnerability and which was taken straight from the Flame platform and built into Stuxnet.


The Equation group uses a vast C&C infrastructure that includes more than 300 domains and more than 100 servers. The servers are hosted in multiple countries, including the US, UK, Italy, Germany, Netherlands, Panama, Costa Rica, Malaysia, Colombia and Czech Republic. Kaspersky Lab is currently sinkholing a couple dozen of the 300 C&C servers.


Since 2001, the Equation group has been busy infecting thousands, or perhaps even tens of thousands of victims in more than 30 countries worldwide, covering the following sectors: Government and diplomatic institutions, Telecommunications, Aerospace, Energy, Nuclear research, Oil and Gas, Military, Nanotechnology, Islamic activists and scholars, Mass media, Transportation, Financial institutions and companies developing encryption technologies.


Kaspersky Lab observed seven exploits used by the Equation group in their malware. At least four of these were used as zero-days. In addition to this, the use of unknown exploits was observed, possibly zero-day, against Firefox 17, as used in the Tor browser.

During the infection stage, the group has the ability to use ten exploits in a chain. However Kaspersky Lab’s experts observed that no more than three are used: if the first one is not successful, they try with another one, and then with the third one. If all three exploits fail, they don’t infect the system.

Kaspersky Lab products detected a number of attempts to attack its users. Many of these attacks were not successful due to Automatic Exploit Prevention technology which generically detects and blocks exploitation of unknown vulnerabilities. The Fanny worm, presumably compiled in July 2008, was first detected and blacklisted by our automatic systems in December 2008.

To learn more about the Equation Group, please read the blog post available at Securelist.com.


Source:  http://www.kaspersky.com/about/news/virus/2015/equation-group-the-crown-creator-of-cyber-espionage


Equation-Group: „Höchstentwickelte Hacker der Welt“ infizieren u.a. Festplatten-Firmware UPDATE

17.02.2015 10:06 Uhr Martin Holland

Ziele der Equation Group finden sich überall auf der Welt.

(Bild: Kaspersky Lab)

Seit Jahren, wenn nicht sogar Jahrzehnten treibt eine Gruppe von Cyberangreifern weltweit ihr Unwesen und setzt auf äußerst hochentwickelte Technik, behauptet Kaspersky. Details bereits bekannter Malware impliziert Verbindungen zum US-Geheimdienst NSA.

Die russische IT-Sicherheitsfirma Kaspersky Lab hat Details zu einer Equation Group getauften Hackergruppe veröffentlicht, die mit ausgefeilten Methoden Regierungen und Unternehmen in mehr als 30 Ländern angegriffen haben soll. Auch wenn sie nicht direkt genannt wird, gibt es Hinweise, das die NSA oder ein anderer US-Geheimdienst dahinter steckt. Als besonders intensive Angriffsmethode hebt Kaspersky die Fähigkeit der Gruppe hervor, die Firmware von Festplatten bekannter Hersteller zu manipulieren. Die entsprechende Malware habe man in zwei Festplatten gefunden. Dass die NSA intern erklärt, dazu in der Lage zu sein, hatten bereits Jacob Appelbaum und Der Spiegel anlässlich des 30C3 in Hamburg öffentlich gemacht.



Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dieses totalen Überwachungssystems enthüllen streng geheime Dokumente, die der Whistleblower und ehemalige NSA-Analyst Edward Snowden an sich gebracht und an Medien weitergegeben hat.

Verbindung zu US-Geheimdiensten

Kaspersky bringt die Equation Group zwar nicht direkt mit US-Behörden wie der NSA in Verbindung, erklärt aber, dass es „solide Hinweise“ dafür gebe, dass mit den Erschaffern von Stuxnet und Flame zusammengearbeitet wurde. So hätten die Entwickler Zero-Day-Lücken ausgetauscht, die in einigen Fällen von der Equation Group genutzt worden seien, bevor sie bei Stuxnet oder Flame eingesetzt wurden. Als Verantwortliche hinter diesen beiden äußerst hochentwickelten Malware-Programmen waren bereits US-Geheimdienste wie die NSA und die CIAausgemacht worden.

Angegriffen wurden dem ausführlichen Bericht zufolge Ziele in mehr als 30 Ländern, darunter auch Deutschland, Frankreich, Großbritannien und in den USA. Zu den Opfern gehörten Regierungen und diplomatische Institutionen, Rüstungskonzerne, Forschungseinrichtungen, Massenmedien sowie Kryptographieentwickler. Während in Deutschland Telekommunikationsunternehmen betroffen seien, habe man in Großbritannien und den USA islamische Gelehrte und Aktivisten als Ziele ausgemacht. Diese Länder seien aber weniger stark betroffen, besonders viele Infektionen gebe es dagegen etwa im Iran und in Russland.

Hochentwickelte Angriffsmethoden

Die Gruppe nutzt demnach ein mächtiges Arsenal an Trojanern. Die Infizierung der Firmware von Festplatten sei darunter nur eine, wenn auch die intensivste Angriffsmethode. Diese Malware überlebt eine Formatierung der Festplatte oder Neuinstallation des Betriebssystems und sei nicht zu entdecken. Gleichzeitig werde sie genutzt, um einen versteckten Bereich auf der Festplatte zu schaffen, auf dem Daten gesichert werden, um sie später abgreifen zu können.Die einzige Methode, die Malware loszuwerden, sei die physische Zerstörung der Festplatte, twitterte Kaspersky-Forscher Fabio Assolini.

[Update 17.02.2015 – 11:05 Uhr] Betroffen sind demnach Festplatten von Western Digital, Maxtor, Samsung, Toshiba und Seagate. Eingesetzt würden eine Reihe nicht-dokumentierter ATA-Befehle. Gleichzeitig sei diese Umprogrammierung von Festplatten-Firmware so selten, dass der Schluss naheliege, dass sie nur gegen ganz besondere Ziele oder unter ganz außergewöhnlichen Umständen eingesetzt würde. Als Namen des Moduls gibt Kaspersky „nls_933w.dll“ an. [/Update]

Eine andere Software, die Kaspersky Fanny getauft hat, könne Netzwerke scannen, die keine Verbindung zur Außenwelt beziehungsweise ins Internet haben. Dabei komme ein infizierter USB-Stick zum Einsatz, der Informationen sammelt, sobald er an einen Computer in dem Netzwerk angeschlossen ist. Wenn er an einem Rechner mit Internetverbindung steckt, würden Daten gesendet und empfangen. Über diesen Umweg könnten sogar Manipulationen an dem abgetrennten Netzwerk vorgenommen werden.

Anderen Zielpersonen sei auf klassischerem Wege Malware untergejubelt worden. So hätten sie nach einer wissenschaftlichen Konferenz in Houston (USA) eine CD mit Konferenzmaterialen zugesandt bekommen. Darüber sei dann eine Malware auf dem persönlichen Rechner installiert worden. An welcher Stelle diese CDs kompromittiert wurden, sei nicht klar.

[Update 17.02.2015 – 10:30 Uhr] Auf den Namen Equation Group (etwa „Gleichungsgruppe“) hat Kaspersky die Angreifer nach eigenen Angaben wegen deren Vorliebe für Verschlüsselungsalgorithmen getauft. Seit wann sie aktiv ist, sei nicht bekannt, aber einige der ältesten Malware-Programme stammten aus dem Jahr 2002. Anhand anderer Spuren ließe sie sich sogar bis ins Jahr 1996 zurückverfolgen.

Kaspersky Lab
Das für Angriffe genutzte PHP-Skript Vergrößern
Bild: Kaspersky Lab

[Update 17.02.2015 – 11:05 Uhr] An einer Stelle erklärt Kaspersky, dass beobachtete Angriffe über dschihadistische Diskussionsforen im Internet ausgeführt wurden. Durch ein spezielles PHP-Skript seien nur tatsächlich eingeloggte Besucher kompromittiert wurden. Die eingebaute Abfrage der IP-Adresse zeige aber, dass offenbar großen Wert darauf gelegt wurde, Nutzer aus bestimmten IP-Adressbereichen nicht zu infizieren. Bereiche, die auf diese Weise ausgenommen wurden, gehören demnach vor allem zu Jordanien, der Türkei und Ägypten.

Die analysierte Malware läuft demnach in allen Fällen unter Windows, aber man habe Hinweise auf Exploits für andere Betriebssysteme. So nutzten offenbar viele Ziele einer betroffenen Gruppe in China Computer mit Mac OS X. Außerdem habe man einen Hinweis dafür gefunden, dass iPhones infiziert werden können, da deren Nutzer von einem PHP-Skript auf eine Seite mit einem Exploit gelotst würden.

Zu den modernsten gefundenen Malware-Programmen gehört demnach ein Implantat, das Kaspersky Grayfish getauft hat. Es sei offenbar zwischen 2008 und 2013 für verschiedenste Windows-Versionen und in 32-Bit- sowie 64-Bit-Versionen entwickelt worden. Grayfish übernehme den Bootvorgang und habe dann die volle Kontrolle. Angelegt würde etwa ein eigenes verschlüsseltes Dateiensystem in der Registry, während zusätzlich bestimmte gültige Treiber – unter anderem einer von CloneCD – infiziert würden. In einem anderen Fall wird eine seit 2009 bekannte Sicherheitslücke ausgenutzt, trotz der die digitale Signatur noch nicht zurückgezogen worden sei. (mho)

Mehr zum Thema NSA Überwachung Hacking Malware Kaspersky Geheimdienste


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:


Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )


Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )


Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )


Verbinde mit %s

%d Bloggern gefällt das: