Inicio Otros Leaks Equation Group

Equation Group

8 minuto leer
0
0
133

¿Qué es The Equation Group?

The Equation Group es el nombre con el que bautizaron los ingenieros de Kaspersky Labs en Rusia a un grupo de hackers con altos niveles de conocimiento y afinidad hacia los algoritmos de encriptación, los métodos avanzados de ofuscación y técnicas avanzadas de hacking.

Se cree que están operativos desde 2001 por lo menos y Kaspersky ya ha documentado 500 infecciones generadas por este misterioso grupo. Los países más castigados: Iran, Rusia, Pakistan, Afghanistan, India, Siria y Mali. Pero debido a que este grupo crea malware con un mecanismo de autodestrucción incorporado, las infecciones se estiman en decenas de miles. Se cree que el equipo de ataque consta de unos 60 miembros.

En las marcas de tiempo que se aprecian en el código inverso (timestamps), se puede apreciar que las labores del equipo se realizan en horarios de trabajo de lunes a viernes en lo que puede corresponder con un horario de trabajo de 08:00-17:00 en la costa este de Estados Unidos.

Asímismo aparece términología clave empleada por la NSA, en secciones del código de su malware: “BACKSNARF”, “Grok”, “STRAITACID” y “STRAITSHOOTER” .

¿Cómo son sus técnicas?

Esta es una breve lista de su minucioso trabajo, sus capacidades técnicas y sus recursos ilimitados:

  • 300 nombres de dominio y 100 servidores para hospedar una increíble infraestructura de comando y control.
  • Posesión de sticks USB con malware de mapeo de redes de ordenadores “air-gapped” – es decir – equipos aislados físicamente mediante la desconexión completa de redes por cable o wireless.
  • La capacidad de utilizar malware sin firmar en versiones modernas de Windows que exigen que todo el software de terceros que interactúe con el kernel del sistema operativo, esté firmado digitalmente por una autoridad de certificación reconocida. Para circunvenir esto, el malware de Equation Group explota una conocida vulnerabilidad en un driver previamente firmado de CloneCD y así conseguir la elevación del código al nivel kernel.
  • Redirecciones que envían a los usuarios de iPhone a páginas con exploit únicas. Además algunas de las máquinas víctima de Equation Group se auto identifican como iOS y dispositivos OSX en sus servidores de control. Lo que supone que han conseguido comprometer ordenadores y dispositivos Mac también.
  • Un método de infección indetectable por los antivirus que consiste en malware que se subdivide en ramas diferentes que van a parar a diferentes sectores del registro y se auto-encriptan.
  • El conocimiento del uso de sistemas de fichero virtuales que también figuran en el sofisticado malware Regin, de la NSA, que aparece en documentos filtrados por Edward Snodwden. Malware con el que se infectó a la firma belga Belgacom.
  • El malware “EquationDrug” y “GrayFish” empleado por el equipo, es capaz de reprogramar el firmware de un disco duro de forma inadvertida. No importa si se formatea el disco duro, el malware seguirá ahí. La empresa antimalware F-Secure piensa que este ataque es el programa de la NSA llamado “Tailored Access Operations” “IRATEMONK” que figura en el “Catálogo ANT” de la NSA. (El catálogo ANT de la NSA es un documento de 50 páginas que lista todos los dispositivos de hardware a los que la NSA puede tener acceso).

En opinión del laboratorio antimalware Kaspersky estamos probablemente ante el equipo de atacantes más sofisticado en el mundo, a la par de los creadores de Stuxnet o a la de los desarrolladores del software de espionage Flame.

Atando cabos

La infraestructura, el presupuesto en investigación y desarrollo, el acceso sin límites a información que pocos escritores de malware tienen y sobre todo viendo el mapa de los países infectados y los no-infectados, se puede concluir que Equation Group ha venido siendo esponsorizado por un gobierno.

En Kaspersky Labs son siempre muy cautos en sus descubrimientos y nunca apuntan a nadie, sin embargo, en esta ocasión los únicos que pueden estar detrás de estas acciones con mayor probabilidad son los E.E.U.U, más concretamente la NSA. No sería una sorpresa para nadie.

Con todo lo que se está filtrando sobre las actividades de la NSA, como siempre debido a las medidas a tomar para asegurar la nación más poderosa del planeta y la más atacada, uno se pregunta ¿Qué existirá que aún no conozcamos? Esto es sólo la punta del iceberg, así que, ¿Qué es lo que no sabremos jamás de sus tejemanejes?

¿No fomentan este tipo de acciones la crispación entre países más y más, en lugar de pacificar y calmar los ánimos? Por las malas todos perdemos como se está demostrando.

No hay que olvidar que hoy en día, desplegar malware espía tan sofisticado sobre un país es como introducir tanques o submarinos nucleares en sus costas. La NSA está creando un ambiente encrespado a nivel cibermilitar con las campañas que emprende.

Fuentes

  1. http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
  2. http://www.digplanet.com/wiki/NSA_ANT_catalog
  3. http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/1/

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Mira además

Ahora puedes espiar a los espías de la NSA con thetransparencytoolkit

El colectivo thetransparencytoolkit, ha creado una serie de servicios y herramientas para …