木马被植入全球硬盘和Stuxnet病毒的幕后花絮: 揭示了最强大的攻击组织“ Equatio”的历史

Baschi安全实验室最近发现了有史以来最强大的网络组织，称为Equation Group. 该小组已经活跃了将近20年，在攻击复杂性和攻击技巧方面已经超过了所有网络攻击组织的历史.

幕后强者: 方程组（Equation Group）

根据卡巴斯基实验室目前掌握的证据，“方程组”与其他网络组织有联系，被认为是著名的Stuxnet和Flame病毒操纵者的幕后推手.

在Stuxnet和Flame使用0day漏洞进行攻击之前，“方程式组织”已经掌握了这些0day漏洞. 有时，他们还会与其他网络组织共享攻击.

卡巴斯基这次发现的“ Equation Organization”恶意软件中，总共使用了7个漏洞，其中至少有4个是0day漏洞！

从2001年到现在，“配方”已在全球30多个国家（包括伊朗，，叙利亚，阿富汗，阿拉伯联合酋长国，中国（香港），英国和美国. 受害者.

根据“配方组织”使用的恶意程序的自毁机制，卡巴斯基得出结论，上述受害者只是冰山一角，实际人数可能更多.

这些受害者包括政府和外交机构，电信业，航空业，能源业，核能研究机构，石油和天然气业，军事业，纳米技术产业，激进分子和学者，大众媒体，运输业，金融机构和加密技术开发公司.

卓越的技术实力

“方程式组织”已开发出功能极为强大的“阿森纳”，并且恶意软件至少包括EquationLaser，EquationDrug，DoubleFantasy，TripleFantasy，Fanny和GrayFish.

硬盘病毒

卡巴斯基研究团队发现了两个“ Equation Organization”恶意模块，它们可以对数十个常见品牌的硬盘驱动器的固件进行重新编程. 这可能是“方程式组织”手中最强大的武器，它也是第一个可以直接感染硬盘驱动器的恶意软件.

1、GrayFish可以自写入进入计算机的引导记录（在操作系统启动前运行），然后将其数据存储进操作系统的注册表中。
2、EquationDrug用于攻击老版本的Windows操作系统，比如Windows 95/98/ME

攻击者可以对硬盘固件进行重新编程（即重写磁盘驱动器的操作系统），以使恶意软件变得异常顽固，即使在格式化磁盘并重新安装系统后，攻击者也可以生存.

如果恶意软件入侵磁盘固件，它将无限期“复活”. 在系统重新启动期间，它可能会阻止删除特定的磁盘扇区或将其替换为恶意代码.

卡巴斯基专家Costin Raiu警告:

“还有一种危险，即当磁盘被感染后，就无法对其固件进行扫描。简言之，大多数硬盘只能对其硬件固件区域进行写入，却不具备读取功能。这意味着，我们几乎对此一无所知，无法检测磁盘是否被该恶意软件所感染。”

由于该病毒在系统启动的初始阶段处于活动状态，因此它可以拦截加密的密码并将其保存在磁盘的隐藏区域中.

即使在断开连接后也仍然可以隐藏信息

不仅如此，“方程式组织”还可以从隔离的网络中获取数据. 该组织使用的恶意软件Fanny使用基于USB的独特命令和控制机制，使攻击者能够始终隔离并在网络外部传输数据. 数据.

具体地说，这是一个USB闪存驱动器，其中包含一个隐藏区域，可以从未连接到Internet的计算机上收集基本系统信息；当将USB闪存驱动器插入联网计算机时，恶意软件Fanny将收集接收到的系统信息，并将其发送到C＆C（命令和控制中心）.

感染所有主要品牌的硬盘

卡巴斯基在报告中报告说，许多主要的硬盘品牌可能会受到影响，包括三星，西部数据，希捷，迈拓，东芝和日立. 这些受感染的硬盘驱动器使攻击者能够连续控制受害者的计算机并窃取数据.

大量证据指向国家安全局（NSA）

卡巴斯基没有透露谁是“配方组织”强大功能的幕后黑手，而是指出了其各种方法，暗示它可能与美国国家安全局的活动有关.

例如，在2009年，该组织在休斯敦的邮件中拦截了CD，植入了用于黑客入侵的恶意程序，并将其发送给原始收件人. 此方法与NSA用于中途拦截和感染Cisco网络设备的方法非常相似. 第二种情况是卡巴斯基分析了“ Formula”程序中意外泄露的关键字并找到了键盘器Grok，该器出现在去年的媒体报道中，指出NSA曾经感染了全球数百万台计算机.

最后一个证据是它与Stuxnet和Flame病毒有关. 欧美媒体报道，Stuxnet和Flame是分别由NSA和中央情报局（CIA）发起的攻击. 近年来，人们发现Stuxnet多次瞄准伊朗. Stuxnet蠕虫攻击伊朗的时间可以追溯到2005年.

目前，国家安全局尚未就此事向媒体发表任何评论，FreeBuf将提出后续报告.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/dianqi/article-302800-1.html