Equation

Equation, il gruppo hacker che spia il mondo

Secondo Kaspersky Lab che lo ha individuato, supera ogni altro gruppo hacker “in termini di complessità e sofisticatezza delle tecniche”. Il gruppo Equation ha infettato migliaia, o forse persino decine di migliaia di vittime in più di 30 Paesi in tutto il mondo
Equation, il gruppo hacker che spia il mondo FASTWEB S.p.A.

Una minaccia informatica incombe, nel silenzio, da quasi vent’anni: si tratta del gruppo Equation che, secondo Kaspersky Lab che lo ha individuato, supera ogni altro gruppo hacker “in termini di complessità e sofisticatezza delle tecniche”. Il gruppo utilizza strumenti molto complessi e costosi da sviluppare allo scopo di infettare le vittime, ottenere informazioni e nascondere la propria attività in un modo sfruttando classiche tecniche di spionaggio per inviare malware dannosi alle vittime.

Il gruppo Equation usa una vasta infrastruttura che include più di 300 domini e oltre 100 server situati in diversi Paesi, compresi Stati Uniti, Regno Unito, Italia, Germania, Paesi Bassi, Panama, Costa Rica, Malaysia, Colombia e Repubblica Ceca. Equation avrebbe interagito con altri gruppi quali Stuxnet e Flame. Dal 2001, il gruppo Equation ha infettato migliaia, o forse persino decine di migliaia di vittime in più di 30 Paesi in tutto il mondo, coinvolgendo governi e aziende. Tra le armi preferite i trojan EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny e GrayFish nonché il worm Fanny.

Equation si avvale di due moduli che permettono di riprogrammare il firmware dell’hard disk di oltre dodici popolari marche. Se il malware riesce a entrare nel firmware, potrà riattivarsi per sempre. Potrebbe evitare l’eliminazione di un determinato settore del disco o sostituirlo con uno nocivo durante l’avvio del sistema. “Un altro pericolo è che, una volta infettato l’hard drive con questo payload nocivo, è impossibile scansionare il suo firmware. In poche parole: per la maggior parte degli hard drive ci sono funzioni per scrivere il firmware dell’hardware, ma non ci sono funzioni per rileggerlo. Questo ci impedisce di rilevare gli hard drive infettati dal malware”, spiega Kaspersky Lab. La tecnica permette di creare un’area invisibile nascosta all’interno dell’hard drive che viene usata per salvare le informazioni che, in un secondo momento, potranno essere recuperate dai criminali.

Che cos’è il worm Fanny

Il suo scopo principale era mappare le reti con protezione air-gap. Per raggiungere questo obiettivo usava un unico meccanismo di controllo basato su USB che permetteva ai criminali di spostare i dati dalle reti protette. Nello specifico, una chiavetta USB con un’area di archiviazione nascosta è stata usata per raccogliere informazioni di base del sistema da un computer non connesso a Internet, e per inviarle al C&C quando la chiavetta è stata inserita in un computer infettato da Fanny e connesso a Internet. Se i criminali avessero voluto eseguire comandi nelle reti con protezione air-gap, avrebbero potuto salvarli nell’area nascosta della chiavetta USB. Una volta inserita la chiavetta nel computer protetto, Fanny avrebbe riconosciuto ed eseguito il comando.

I criminali hanno intercettato prodotti fisici e li hanno sostituiti con versioni infettate da Trojan. In un attacco di questo tipo sono stati coinvolti i partecipanti di una conferenza scientifica a Houston: appena tornati a casa hanno ricevuto una copia dei materiali della conferenza su un cd rom che veniva usato per installare l’impianto DoubleFantasy del gruppo direttamente nel dispositivo preso di mira.

17 febbraio 2015

La Redazione
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail