במהלך מספר שנים עקב צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי (GReAT) אחר יותר מ- 60 שחקנים מתקדמים האחראים על מתקפות סייבר ברחבי העולם. אחד הדברים הבולטים שעלו היו המורכבות הגוברת והולכת של המתקפות על רקע כניסתן למשחק של יותר ויותר מדינות שניסו לחמש את עצמן בכלים המתקדמים ביותר. אך רק כעת יכולים מומחי מעבדת קספרסקי לאשר כי חשפו את השחקן אשר עולה על כולם מבחינת מורכבות ותחכום הטכניקות שלו – קבוצת Equation הפועלת כבר כמעט שני עשורים.
על פי חוקרי מעבדת קספרסקי, הקבוצה ייחודית כמעט בכל מאפיין של פעילותה: היא משתמשת בכלים מורכבים ויקרים ביותר לפיתוח במטרה לפגוע בקורבנות, לחלץ מידע ולהסתיר את הפעילות בדרך יוצאת דופן. הקבוצה גם מפעילה טכניקות ריגול קלאסיות כדי להחדיר מטענים זדוניים אל הקורבנות.
כדי לפגוע בקורבנות שלה, הקבוצה השתמשה במאגר נשקים הכולל "שתלים" (טרויאנים) אשר נקראו על ידי מעבדת קספרסקי: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny ו- GrayFish. ללא ספק קיימים "שתלים" נוספים בנמצא.
מה הופך את Equation לקבוצה ייחודית?
צוות GReAT הצליח לחשוף שני מודולים שאיפשרו תכנות מחדש של חומרת דיסק קשיח של יותר מעשרה מותגי HDD נפוצים. זהו אולי הכלי העוצמתי ביותר במאגר הנשקים של הקבוצה, וזהו גם הקוד הזדוני הראשון שידוע כי הוא מסוגל לפגוע בכוננים קשיחים.
באמצעות תכנות מחדש של תוכנת הדיסק הקשיח (כתיבה מחדשה של מערכת ההפעלה של הדיסק הקשיח) הקבוצה השיגה שתי מטרות:
1. רמה גבוהה ביותר של עמידות, שמסייעת לשרוד פירמוט של הדיסק או התקנה מחדש של מערכת הפעלה. אם הקוד הזדוני נכנס למערכת הדיסק הקשיח, הוא מסוג "להחיות" את עצמו מחדש לעד. הוא עלול גם למנוע מחיקה של אזורים מסוימים בדיסק או להחליף אותם בקוד זדוני במהלך אתחול של המערכת.
"דבר מסוכן נוסף הוא שברגע שהדיסק נדבק בקוד הזדוני, בלתי אפשרי לסרוק את המערכת שלו. אם לפרט: ברוב הדיסקים הקשיחים ישנן פונקציות לכתיבה אל תוך האזור של תוכנת (תווכת) הדיסק, אבל אין פונקציות כדי לקרוא אותו בחזרה. המשמעות היא שלמעשה אנו עיוורים, ולא יכולים לזהות דיסק קשיח שנפגע על ידי קוד זדוני זה", התריע קוסטין ריאו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי.
2. היכולת ליצור אזור עמיד ושקוף בתוך הדיסק הקשיח. הוא משמש כדי לשמור מידע שחולץ, אותו התוקפים יוכלו להוציא בשלב מאוחר יותר. בנוסף, במקרים מסוימים הוא יכול לסייע לקבוצה לפענח הצפנה: "אם לוקחים בחשבון את העובדה ששתל ה- GrayFish פעיל מרגע אתחול המערכת, אז יש לו את היכולת ללכוד את סיסמת ההצפנה ולשמור אותה באזור המוסתר", מסביר קוסטין ריאו.
היכולת לחלץ נתונים מתוך רשתות מבודדות
תולעת Fanny בולטת במיוחד על רקע כל המתקפות שבוצעו על ידי קבוצת Equation. המטרה המרכזית שלה הייתה למפות רשתות מבודדות, או במילים אחרות – להבין את מבנה הרשת שלא ניתן להגיע אליו, ולהפעיל פקודות עבור מערכות מבודדות אלה. לשם כך, היא השתמשה בפקודת USB ייחודית ובמנגנון שליטה שמאפשרים לתוקפים להעביר נתונים קדימה ואחורה מתוך הרשתות המבודדות.
בעיקר נעשה שימוש בהתקני USB שהודבקו עם אזור אחסון נסתר, על מנת לאסוף נתונים של מערכות בסיסיות ממחשבים שאינם מקושרים לאינטרנט. הנתונים נשלחו חזרה לשרתי הפיקוד והשליטה כאשר כונן ה- USB חובר פעם נוספת למחשב שהודבק על ידי Fanny ושיש לו קישוריות לאינטרנט. אם התוקפים רצו להריץ פקודה ברשתות המבודדות, הם יכלו לשמור את הפקודות האלה באזור נסתר בכונן ה- USB. כאשר הכונן חובר לתוך מחשב ברשת המובדדת, Fanny זיהתה את הפקודות והפעילה אותן.
שיטות ריגול מסורתיות להעברת הקוד הזדוני
התוקפים השתמשו בשיטות מסורתיות כדי לפגוע במטרות: לא רק באמצעות הרשת, אלא גם בעולם הפיזי. לשם כך הם השתמשו בטכניקות חציצה (interdiction) – כשהם מיירטים מוצרים פיזיים ומחליפים אותם בגרסאות המכילות טרויאנים. דוגמא אחת לכך התבצעה על משתתפים בכנס מדענים ביוסטון: בעת החזרה הבית, חלק מהמשתתפים קיבלו עותק של חומרי הכנס על CD באמצעותו הותקן שתל ה- DoubleFantasy של הקבוצה על מכשיר המטרה. השיטה המדויקת באמצעותה הדיסקים האלה הודבקו אינה ידועה.
חברים ידועים לשמצה: סטוקסנט ופליים
ישנם קשרים ברורים המצביעים על כך שקבוצת Equation פעלה בשיתוף עם קבוצות עוצמתיות אחרות, כגון מפעילי סטוקסנט ופליים – בדרך כלל מנקודת עליונות. לקבוצת Equation הייתה גישה לפרצות יום אפס לפני שהם היו בשימוש על ידי סטוקסנט ופליים, ובנקודה מסוימת הם שיתפו את הפרצות עם אחרים.
לדוגמא, ב- 2008 תולעת Fanny השתמשה בשתי פרצות יום אפס אשר הופעלו בסטוקסנט ביוני 2009 ובמרץ 2010. אחת משתי פרצות אלה בסטוקסנט הייתה למעשה מודול של פליים, אשר ניצל את אותה פירצה ואשר נילקחה ישירות מהפלפורמה שלו.
קבוצת Equation השתמשה בתשתית פיקוד ושליטה רחבה אשר כללה יותר מ- 300 דומיינים ויותר מ- 100 שרתים. השרתים התארחו במספר מדינות, כולל ארה"ב, בריטניה, איטליה, גרמניה, הולנד, פנמה, קוסטה ריקה, מלזיה, קולומביה וצ'כיה. מעבדת קספרסקי תפסה שליטה על כמה עשרות שרתים מתוך 300 שרתי הפיקוד והשליטה.
אלפי קורבנות בפרופיל גבוה ובפריסה גלובלית
מאז 2001, קבוצת Equation הייתה עסוקה בהדבקה של אלפי, אולי אפילו עשרות אלפי קורבנות, ביותר מ- 30 מדינות ברחבי העולם, כשהיא מכסה את המגזרים הבאים: גופי ממשל ודיפלומטיה, טלקום, חלל ותעופה, אנרגיה, מחקר גרעיני, נפט וגז, צבא, ננו-טכנולוגיה, פעילים ואקדמאיים איסלמים, גופי תקשורת, תחבורה, גופים פיננסים וחברות המפתחות טכנולוגיות הצפנה.
זיהוי
מעבדת קספרסקי זיהתה שבע פרצות שהיו בשימוש בקוד הזדוני של קבוצת Equation. לפחות ארבע מתוכן שימשו כמתקפות יום אפס. בנוסף לכך, זוהה שימוש בפרצות בלתי מוכרות, כנראה יום אפס, כנגד פיירפוקס 17 כשהוא בשימוש כדפדפן Tor.
במהלך שלב ההדבקה, לקבוצה הייתה היכולת להשתמש בעשר פרצות בשרשרת. אך מומחי מעבדת קספרסקי זיהו כי לא נעשה שימוש ביותר משלוש: אם הראשונה לא הצליחה, הם ניסו אחרת, ואז את השלישית. אם כל השלוש נכשלו, הם לא הדביקו את המערכת.
מוצרי מעבדת קספרסקי זיהו מספר תבניות של ניסיונות התקפה על המשתמשים שלהם. רבות ממתקפות אלה לא היו מוצלחות בזכות טכנולוגית "מניעת פרצות אוטומטית" אשר באופן כללי מזהה וחוסמת ניצול של פרצות בלתי מוכרות. תולעת Fanny, שכנראה נוצרה ביולי 2008, הייתה הזיהוי הראשון שנחסם על ידי המערכות האוטומטיות של מעבדת קספרסקי בדצמבר 2008.