Kaspersky追踨The Equation Group所使用的各種攻擊工具。

安全公司Kaspersky在該公司的安全分析師高峰會上發表一份文件,揭示歷來最高明的駭客團體The Equation Group,且暗示和美國國安局(NSA)間諜活動之間可能有關聯。
 
Kaspersky在部落格中指出,Kaspersky Lab的全球研究與分析小組(Global Research and Analysis Team, GReAT)多年來監控發動全球網路攻擊背後的60多個進階威脅組織,經過密集而廣泛的資料分析,可以說正式發現技巧的複雜及高明程度超越其他人的駭客組織,是活躍近20年的The Equation Group。安全公司並稱之為網路間諜活動的盟主(crown creator)。
 
研究公司發現,為了感染受害者系統,The Equation Group發展了極強大的木馬「軍火庫」,至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等。受害者遍及伊朗、俄羅斯、敍利亞、阿富汗、阿拉伯聯合大公國、香港、英、美等30餘國,包括500個以上的金融、核能、電信等企業及軍方與政府單位,感染系統涵括伺服器、網域控制器、資料倉儲、網站等。基於程式的自我毁滅機制,安全公司推斷受害者其實只是冰山一角,實際數目可能高達上萬。
 
不過安全研究人員指出,The Equation最厲害的是,它可以感染硬碟韌體,他們發現兩種惡意程式Equationdrug及Grayfish發展而來的重編程模組,可將10多種市售硬碟韌體重新編程,即覆寫硬碟作業系統,包括希捷(Seagate)、WD、三星等。背後目的可能有二種,一是植入惡意程式後,能避免因磁碟重新格式化及重裝作業系統而移除掉,二是暗中竊取資訊並傳送給駭客。研究人員指出這可能是The Equation Group最強大的工具,也是已知首個感染硬碟的手法。
 
Karspersky並未說明The Equation Group強大能力的背後主謀是誰,但卻指出其種種手法,暗示可能與美國國安局的間諜活動有關。
 
例如2009年該組織在休士頓攔截郵寄途中的光碟片,並植入用於駭客行為的惡意程式,再寄給原收件單位。這手法和NSA半路攔截且感染思科網路設備的手法很像。第二例是Karspersky分析The Equation Group程式函式庫中不小心洩露的關鍵字,發現到外掛鍵盤側錄程式Grok,這出現在去年媒體報導NSA用於感染全球數百萬電腦的攻擊工具中。另外,STRAITACID也與NSA的Tailored Access Operations使用的STRAITBIZARRE很像,它可作為「用後即丟」的攻擊工具。
 
Kaskpersky研究人員並發現,The Equation Group和其他蠕蟲攻擊如Stuxnet和Flame之間關聯性。例如Stuxnet攻擊中的一些「零號受害者」(patient zero)感染了Equation Group的惡意程式,可能是其惡意程式被用於Stuxnet的程式籌載中。此外加密籌載(payload)的行為也類似Stuxnet。
 
歐美媒體曾報導,Stuxnet和Flame分別是NSA和以色列 NSA、中情局(CIA)在背後操刀發動的駭客行動。近年來Stuxnet已被多次發現鎖定伊朗,Stuxnet蠕蟲攻擊伊朗的時間點最早可追溯到2005年。
 
NSA對此並未向媒體做出任何評論。(編譯/林妍溱)

 


Advertisement

更多 iThome相關內容