Usuario:Sudonet/Taller

Equation Group
Vista de uno de los programas de Equation Group. En la imagen se resaltan marcas de disco duro.
Tipo	Amenaza persistente avanzada
Productos	Stuxnet, Flame Agencia de Seguridad Nacional NSA Directorate S Tailored Access Operations

El Equation Group (en español Grupo Ecuación), una amenaza persistente avanzada, es un actor informático maligno bajo sospecha de estar relacionado con la unidad Tailored Access Operations de la Agencia de Seguridad Nacional de los Estados Unidos. A su vez, ha interactuado con los creadores de Stuxnet y Flame.^[1]​^[2]​^[3]​^[4]​ Kaspersky Lab los describe como uno de los grupos de ciberataques más sofisticados del mundo y «el más avanzado ... que hemos visto».^[1]​^[5]​ Kaspersky documentó más de 500 infecciones en al menos 42 países, entre ellos Irán, Rusia y Pakistán. Destacaron que, dado el mecanismo de «autodestrucción» del malware, «se puede asumir que hubieron decenas de miles de infecciones en el mundo».^[6]​^[5]​^[1]​

El nombre del grupo origina de su uso extenso del cifrado.^[5]​^[7]​

En 2017, WikiLeaks publicó una discusión llevada acabo dentro de la Agencia de Seguridad Nacional en la que se planteaba como fue posible el descubrimiento del grupo.^[8]​ Un participante comentó que «el Equation Group mencionado en el reporte no está relacionado a un grupo en específico sino a una colección de herramientas para el hackeo».^[9]​

Descubrimiento

At the Kaspersky Security Analysts Summit held in Mexico on February 16, 2015, Kaspersky Lab anunció su descubrimiento de Equation Group. De acuerdo al informe de Kaspersky Lab, el grupo ha estado activo al menos desde 2001, con más de 60 participantes.^[10]​ El malware usado en sus operaciones, apodado EquationDrug y GrayFish, es capaz de modificar el firmware de discos duros.^[1]​ Debido a las técnicas avanzadas usadas por el grupo y su alto nivel de encubrimiento, se sospecha que tiene lazos con la NSA, pero Kaspersky Lab no ha identificado a los responsables detras del grupo.

Conexión posible a Stuxnet y la NSA

In 2015 Kaspersky's research findings on the Equation Group noted that its loader, "Grayfish", had similarities to a previously discovered loader, "Gauss", from another attack series, and separately noted that the Equation Group used two zero-day attacks later used in Stuxnet; the researchers concluded that "the similar type of usage of both exploits together in different computer worms, at around the same time, indicates that the EQUATION group and the Stuxnet developers are either the same or working closely together".^[6]​^: 13

Firmware

También identificaron que la plataforma de malware había sido distribuida por medio de la intercepción de discos compactos enviados por parte de organizadores de conferencias científicas,^[6]​^: 15 y que la plataforma tenía la capacidad «sin precedente» de infectar y ser transmitida por el firmware de discos duros de varios fabricantes importantes, así como la de crear áreas ocultas en los discos duros y sistemas de discos virtuales para su funcionamiento, lo cual requeriría acceso al código fuente del fabricante.^[6]​^: 16–18 También se plasmó que había sido diseñado con precisión extrema, teniendo la capacidad de discriminar por país (basándose en la dirección IP) y también nombres de usuario en foros de internet.^[6]​^: 23–26

Codewords and timestamps

Los nombres en clave «STRAITACID» y «STRAITSHOOTER» de la NSA han sido encontrados dentro del malware. Adicionalmente, existen marcas temporales en el malware que parecen indicar que los programadores trabajaban casi totalmente de Lunes a Viernes, lo que correspondería a un horario de 08:00 a 17:00 en una zona de tiempo correspondiente al Este de Estados Unidos.^[11]​

El exploit LNK

El grupo global de investigación y análiis de Kaspersky, también llamado GReAT, afirmó en 2008 haber encontrado un malware que contenía el módulo "privLib" de Stuxnet.^[12]​ Contenía específicamente el exploit LNK visto en Stuxnet en 2010. Fanny está clasificado como un gusano que afecta a ciertas versiones de Windows e intenta replicarse de manera lateral mediante la red o por memorias USB. Kaspersky dijo que tienen sospechas de que Equation Group ha existido por más tiempo que Stuxnet, basándose en el tiempo de compilación registrado de Fanny.^[1]​

Link to IRATEMONK

 

The NSA's listing of its Tailored Access Operations program named IRATEMONK from the NSA ANT catalog.

F-Secure claims that the Equation Group's malicious hard drive firmware is TAO program "IRATEMONK",^[13]​ one of the items from the NSA ANT catalog exposed in a 2013 Der Spiegel article. IRATEMONK provides the attacker with an ability to have their software application persistently installed on desktop and laptop computers, despite the disk being formatted, its data erased or the operating system re-installed. It infects the hard drive firmware, which in turn adds instructions to the disk's master boot record that causes the software to install each time the computer is booted up.^[14]​ It is capable of infecting certain hard drives from Seagate, Maxtor, Western Digital, Samsung,^[14]​ IBM, Micron Technology and Toshiba.^[1]​

2016 breach of the Equation Group

En agosto de 2016, un grupo hacker autodenominado "The Shadow Brokers" anunció que había robado código de Equation Group.^[15]​ Kaspersky Lab encontró similitudes entre el código robado y código previo del grupo que Kaspersky poseía. Entre las similitudes Kaspersky Lab indicó la implementación peculiar del algoritmo de cifrado RC6 de Equation Group, y que por lo tanto el código de The Shadow Brokers era legítimo.^[16]​ Las fechas más recientes corresponden a junio de 2013, lo que causó que Edward Snowden especulara que las probables medidas de emergencia resultantes de sus filtraciones sobre los programas de vigilancia de la NSA impidieron el ataque de The Shadow Brokers contra Equation Group. Exploits against Cisco Adaptive Security Appliances and Fortinet's firewalls were featured in some malware samples released by The Shadow Brokers.^[17]​ EXTRABACON, un exploit contra el protocolo simple de administración de red Cisco's ASA software, was a zero-day exploit as of the time of the announcement.^[17]​ Juniper also confirmed that its NetScreen firewalls were affected.^[18]​ El exploit EternalBlue fue usado para llevar acabo los ataques del ransomware Wannacry.

Véase también

• Revelaciones sobre la red de vigilancia mundial (2013-2015)

Referencias

1. GReAT (16 de febrero de 2015). «Equation: The Death Star of Malware Galaxy». Securelist.com. Kaspersky Lab. Consultado el 16 de agosto de 2016. «SecureList, Costin Raiu (director of Kaspersky Lab's global research and analysis team): "It seems to me Equation Group are the ones with the coolest toys. Every now and then they share them with the Stuxnet group and the Flame group, but they are originally available only to the Equation Group people. Equation Group are definitely the masters, and they are giving the others, maybe, bread crumbs. From time to time they are giving them some goodies to integrate into Stuxnet and Flame."». 
2. Fox-Brewster, Thomas (16 de febrero de 2015). «Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'». Forbes. Consultado el 24 de noviembre de 2015. 
3. Menn, Joseph (17 de febrero de 2015). «Russian researchers expose breakthrough U.S. spying program». Reuters. Consultado el 24 de noviembre de 2015. 
4. «The nsa was hacked snowden documents confirm». The Intercept. 19 de agosto de 2016. Consultado el 19 de agosto de 2016. 
5. Goodin, Dan (16 de febrero de 2015). «How "omnipotent" hackers tied to NSA hid for 14 years—and were found at last». Ars Technica. Consultado el 24 de noviembre de 2015. 
6. «Equation Group: Questions and Answers (Version: 1.5)». Kaspersky Lab. Febrero de 2015. Archivado desde el original el 17 de febrero de 2015. Consultado el 24 de noviembre de 2015. 
7. Kirk, Jeremy (17 de febrero de 2015). «Destroying your hard drive is the only way to stop this super-advanced malware». PCWorld. Consultado el 24 de noviembred de 2015. 
8. Goodin, Dan. «After NSA hacking exposé, CIA staffers asked where Equation Group went wrong». Ars Technica. Consultado el 21 de marzo de 2017. 
9. «What did Equation do wrong, and how can we avoid doing the same?». Vault 7. WikiLeaks. Consultado el 21 de marzo de 2017. 
10. «Equation Group: The Crown Creator of Cyber-Espionage». Kaspersky Lab. 16 de febrero de 2015. Consultado el 24 de noviembre de 2015. 
11. Goodin, Dan (11 de marzo de 2015). «New smoking gun further ties NSA to omnipotent "Equation Group" hackers». Ars Technica. Consultado el 24 de noviembre de 2015. 
12. «A Fanny Equation: "I am your father, Stuxnet"». Kaspersky Lab. 17 de febrero de 2015. Consultado el 24 de noviembre de 2015. 
13. «The Equation Group Equals NSA / IRATEMONK». F-Secure Weblog : News from the Lab. February 17, 2015. Consultado el November 24, 2015. 
14. Schneier, Bruce (January 31, 2014). «IRATEMONK: NSA Exploit of the Day». Schneier on Security. Consultado el November 24, 2015. 
15. Goodin, Dan (15 de agosto de 2016). «Group claims to hack NSA-tied hackers, posts exploits as proof». Ars Technica. Consultado el 19 de agosto de 2016. 
16. Goodin, Dan (16 de agosto de 2016). «Confirmed: hacking tool leak came from "omnipotent" NSA-tied group». Ars Technica. Consultado el 19 de agosto de 2016. 
17. Thomson, Iain (17 de agosto de 2016). «Cisco confirms two of the Shadow Brokers' 'NSA' vulns are real». The Register. Consultado el 19 de agosto de 2016. 
18. Pauli, Darren (24 de agosto de 2016). «Equation Group exploit hits newer Cisco ASA, Juniper Netscreen». The Register. Consultado el 30 de agosto de 2016. 

Enlaces externos

•   Wikimedia Commons alberga una categoría multimedia sobre Sudonet/Taller.
• Equation Group: Questions and Answers por Kaspersky Lab, Versión: 1.5, febrero de 2015
• A Fanny Equation: "I am your father, Stuxnet" por Kaspersky Lab, febrero de 2015