La última y peor amenaza del ciberespionaje: Equation Group
Miguel Morales
Durante varios años, el GREAT (Global Research and Analysis Team) de Kaspersky Lab ha seguido de cerca más de 60 actores de amenazas avanzadas responsables de ciberataques de todo el mundo. El equipo de analistas, que ha visto ataques cada vez más complejos a medida que los Estados se involucraron y trataron de armarse, confirman que han descubierto un actor de amenaza que supera todo lo conocido en términos de complejidad y sofisticación técnicas y que ha estado activo durante casi dos décadas: Equation Group. Aquí es de donde nacen lospeores virus, y el código más malicioso que ronda por Internet.
Según los investigadores de Kaspersky Lab, es único en casi todos los aspectos de sus actividades: utiliza herramientas que son muy complicadas y caras de desarrollar, con el fin de infectar a las víctimas, recuperar datos y ocultar la actividad de una manera extraordinariamente profesional y utiliza técnicas del espionaje clásico para entregar cargas maliciosas a las víctimas.
Para infectar a sus víctimas, Equation Group utiliza un potente arsenal de "implantes" (troyanos), incluyendo los siguientes: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish..
El GREAT ha sido capaz de recuperar dos módulos que permiten una reprogramación del firmware del disco duro de más de una docena de marcas populares de HDD. Esta es quizás la herramienta más poderosa de Equation Group y el primer malware conocido capaz de infectar a los discos duros. Reprogramando el firmware del disco duro (es decir, volver a escribir el sistema operativo del disco duro), el grupo logra dos propósitos:
1. Un nivel de persistencia extremo que ayuda a sobrevivir al formateo del disco y a la reinstalación del sistema operativo. Si el malware se mete en el firmware, ya está listo para "resucitar" para siempre.
2. La capacidad de crear una zona invisible, persistente, oculta dentro del disco duro. Se utiliza para guardar información extraída que puede ser posteriormente recuperada por los ciberatacantes. Además, en algunos casos puede ayudar al grupo cancelar el cifrado.
Además, Equation Group tiene la capacidad para recuperar datos de redes aisladas: El gusano Fanny destaca de entre todos los ataques perpetrados por Equation Group. Su objetivo principal es mapear redes con “air gap”, es decir, entender la topología de una red que no puede ser alcanzada y ejecutar comandos para esos sistemas aislados.
Desde 2001, Equation Group ha infectado miles, o incluso, decenas de miles de víctimas en más de 30 países en todo el mundo, de los siguientes sectores: instituciones gubernamentales y diplomáticas, telecomunicaciones, aeroespacial, energía, investigación nuclear, petróleo y gas, nanotecnología, activistas islámicos y escolares, medios de comunicación, transporte, instituciones financieras y empresas que desarrollan tecnologías de cifrado.
Conoce cómo trabajamos en Computerhoy.