Equation Group : l’une des unités de hackers de la NSA

Via Ars Technica et Kaspersky :

Les chercheurs de chez Kaspersky ont pu mettre la main sur différents malwares utilisés dans des attaques ciblées.
Les malwares étaient parfois livrés sur des CD ou DVD commandées par la victime qui ne se doutait de rien : le CD ou DVD original est intercepté par la voie du courrier pour que les malwares soient ajoutés… Le colis reprend ensuite son trajet. Une méthode qui a déjà été employée contre une développeuse du projet Tor.

Ajouté à ça ces composants réutilisent des méthodes déjà observées dans Regin (l’utilisation de systèmes de fichiers virtuels) ou l’utilisation de failles 0-day qui ont ensuite été découvertes dans Stuxnet comme la faille LNK.

Ce qui amène Kaspersky à affirmer que les auteurs de Stuxnet et l’unité Equation Group sont deux entités distinctes c’est le fait que ces derniers semblent avoir recours à des techniques plus sophistiquées et que l’unité derrière Stuxnet n’aurait profité que des miettes laissées par Equation Group.
Véridique ou intention de Kaspersky de faire le buzz en utilisant un nouveau nom de code ? Ça on ne le saura certainement jamais.

D’autres techniques hors du commun sont utilisés par Equation Group comme la réécriture du firmware de pas moins de 12 marques de disques dur différents (Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba, Seagate), rendant tout simplement impossible la détection par les antivirus.

Un composant baptisé Fanny sert à échapper aux air gaps par le biais des clés USB : le malware s’injecte sur la clé USB en se dissimulant dans le système de fichier FAT ou NTFS via un driver fait maison.
Il utilise aussi deux exploits (dont le LNK) pour se propager ensuite sur les machines où sera branchée la clé USB.

Si la machine ne dispose pas de connexion Internet alors des données d’identification (liste des process, architecture et nom de la machine, etc) sont récupérées et recopiées discrètement vers la clé.
Plus tard quand la clé USB est branchée sur une machine disposant d’un accès à Internet, les données sont retransmises à un C&C. Ce dernier peut retourner d’autres commandes à exécuter qui seront stockées sur la clé USB puis finalement exécutées la prochaine fois que celle ci sera rebranchée sur la machine sans connexion…

Bref, pas de quoi rassurer les paranos 😀

Quand aux victimes ? Essentiellement la région où on retrouve Iran, Pakistan, Afghanistan mais aussi l’Inde, la Russie, la Chine, etc.
Notez que contrairement à ce qu’ont pu dire certains médias, Equation Group n’a aucun lien avec les attaques Carbanak.

3 réflexions au sujet de « Equation Group : l’une des unités de hackers de la NSA »

Les commentaires sont fermés.