Equation Group: Kaspersky identifiziert „höchstentwickelte Cyberangreifer der Welt“

Die Hackergruppe ist mindestens seit 2001 aktiv und hat seitdem Tausende Systeme kompromittiert. Zu ihren Zielen gehören Einrichtungen aus den Bereichen Militär, Telekommunikation, Energie, Nanotechnologie und Medien. Ihre hochentwickelten Angriffstools erlauben unter anderem das Umschreiben der Firmware von Festplatten und SSDs.

Kaspersky Lab hat auf seinem Security Analyst Summit im mexikanischen Cancún Forschungsergebnisse über eine Hackergruppe namens Equation Group veröffentlicht. Dem Sicherheitsunternehmen zufolge treibt sie mindestens seit 2001, wenn nicht sogar seit 1996 ihr Unwesen, und setzt extrem hochentwickelte Angriffstechniken ein. Das Kaspersky Lab Global Research and Analysis Team (GReAT) bezeichnet sie daher als „Vorfahren“ der Stuxnet– und Flame-Entwickler sowie als einen der „höchstentwickelten Cyberangreifer der Welt“.

Hacker (Bild: Shutterstock)

Die Equation Group nutzt verschiedene Malware-Plattformen, von denen einige noch deutlich komplexer und ausgefeilter sind als etwa die Spionagesoftware Regin, die im Dezember auch auf Rechnern des Kanzleramts entdeckt wurde. Nach der Analyse von mehr als 60 weltweit agierenden Cyberangreifern, kommt Kaspersky zu dem Schluss, dass die Equation Group weit über alles hinaus gehe, was man bisher beobachtet habe.

Die Hackergruppe ist den Sicherheitsexperten zufolge in mehrerlei Hinsicht einzigartig: Sie nutzt Tools, die extrem kompliziert und teuer zu entwickeln sind, agiert sehr professionell hinsichtlich der Art, wie sie ihre Ziele infiziert, stiehlt Daten und verschleiert dabei ihre Identität, und setzt ebenfalls „klassische“ Spionagetechniken ein, um schädliche Payloads auszuliefern.

Um ihre Ziele zu infizieren, verwendet die Gruppe eine Reihe Trojaner und andere Malware. Zum Umfang des Equation-Group-Toolkits zählen auch mindestens zwei Stuxnet-Varianten sowie diverse Zero-Day-Exploits, die sich sowohl gegen Windows- und Mac-OS-Rechner als auch gegen Browser richten. GReAT-Direktor Costin Raiu sagte auf dem Security Analyst Summit, dass die Gruppe wahrscheinlich auch über iPhone-Exploits verfüge, „aber wir haben dafür noch keine Bestätigung“. „Diese Leute machen keine Fehler. Und falls doch, dann sehr sehr selten.“

Zu den von der Gruppe eingesetzten Spezialwerkzeugen zählen namentlich EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish. Zwei davon stechen aus der Masse heraus: Fanny, benannt nach der auf kompromittierten Systemen zu findenden Bitmap-Datei „fanny.bmp“, ist ein 2008 entwickelter Computerwurm, der sich gegen Ziele im Nahen Osten und in Asien richtet. Er befällt USB-Festplatten und findet sich Raiu zufolge noch heute auf Tausenden USB-Medien. Mit ihm verschaffen sich Angreifer Zugang zu eigentlich abgeschotteten Air-Gap-Netzwerken, indem die Malware einen einzigartigen USB-basierten Kommando- und Kontrollmechanismus verwendet, um einen versteckten Speicherbereich auf einem USB-Medium anzulegen, in dem gestohlene Daten abgelegt und Befehle ausgeführt werden können.

Zeitliche Übersicht über die von der Equation Group eingesetzte Malware (Bild: Kaspersky)Zeitliche Übersicht über die von der Equation Group eingesetzte Malware (Bild: Kaspersky)

Infiziert Fanny einen nicht mit dem Internet verbundenen Rechner, sammelt er Systeminformationen und speichert sie in dem versteckten Bereich. Sollte sich der Computer später mit dem Internet verbinden, wird der Wurm aktiv und schickt die Daten an einen Command and Control Center. Will ein Angreifer Befehle in einem abgeschotteten Netzwerk ausführen, kann er diese in dem versteckten Speicherbereich hinterlegen und anschließend aktivieren. Auf diese Weise soll die Equation Group mehr als 300 Domains und über 100 Server in Ländern wie den USA, Großbritannien, Panama und Kolumbien kompromittiert haben.

Das zweite besonders ausgefeilte Werkzeug ist ein Plug-in mit dem Dateinamen „nls_933w.dll“, das Kaspersky als das „ultimative Cyberangriffs-Tool“ bezeichnet. Es kann auf niedriger Ebene mit einer Festplatte oder SSD interagieren und sogar deren Firmware umschreiben. Dadurch ist die Malware nicht nur extrem schwer zu entdecken und zu entfernen, sondern übersteht sogar eine Neuformatierung des Laufwerks oder eine Neuinstallation des Systems. Zugleich kann sie ebenfalls einen versteckten Speicherbereich anlegen, der nahezu unmöglich zu entdecken ist. Kaspersky hat bisher zwölf Hersteller ausgemacht, deren Laufwerke anfällig sind, darunter Seagate, Western Digital und Samsung. Beim Verdacht einer Infektion empfehlen die Sicherheitsexperten die sofortige Vernichtung des Laufwerks.

Als „Vorfahren“ anderer Entwickler von Cyberbedrohungen wie Stuxnet und Flame bezeichnet Kasperksy die Equation Group, weil sie schon Zugang zu Zero-Day-Exploits hatte, noch bevor diese von Stuxnet und Flame ausgenutzt wurden. Offenbar hat die Gruppe diese Exploits zu irgendeinem Zeitpunkt anderen Cyberangreifern zur Verfügung gestellt. Beispielsweise nutzte Fanny schon 2008 zwei Zero-Day-Exploits, die Stuxnet erst im Juni 2009 und März 2010 verwendete. „Tatsächlich deutet die ähnliche Nutzung der beiden Exploits in verschiedenen Computerwürmern zu etwa derselben Zeit darauf hin, dass die Equation Group und die Stuxnet-Entwickler entweder identisch sind oder eng zusammengearbeitet haben“, so Raiu.

Seit 2001 habe die Equation Group Tausende oder sogar Zehntausende Systeme mit ihrem Arsenal an Bootkits und Malware infiziert, so Kaspersky. Zu ihren Zielen gehörten Einrichtungen aus den Bereichen Militär, Telekommunikation, Energie, Nanotechnologie und Medien. Raiu geht von rund 2000 Opfern im Monat aus. Auf den ersten Blick erscheine diese Zahl zwar niedrig, aber wenn man sich die Art der Ziele vor Augen führe, sei sie „ziemlich beängstigend“.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

9 Kommentare zu Equation Group: Kaspersky identifiziert „höchstentwickelte Cyberangreifer der Welt“

Kommentar hinzufügen
  • Am 17. Februar 2015 um 14:24 von Stefan Musil

    …klingt wie die Referenzliste für eine Bewerbung bei der NSA

  • Am 17. Februar 2015 um 20:40 von Andrea

    Oh weiahh…das ist jetzt wohl wirklich die Büchse der Pandora, die hier geöffnet wurde…

    Nur gut dass auf meiner internen Festplatte nichts drauf ist außer das Betriebssystem. Aber ich habe eine externe usb-Festplatte dranhängen.

    Daher meine Fragen:

    1. wie schütze ich mich (Firewall ist installiert in meinem Linux)
    2. wie sichere ich meine externe Festplatte ab??
    3. wie entdecke ich mögliche Manipulationen in der Firmware??
    4. Wie entdecke ich in Linux (Ubuntu 15.04 und LinuxMInt 17.1) ob ich infiziert bin oder nicht??

    ich verlange Antworten von den AntiViren-Herstellern! Ich habe KEINE Bock mehr darauf, dass die unsere Daten ausspionieren und klauen! Außerdem müssen wir verhindern, dass die bei uns – via dieser Datenzecke Cassidian bei Airbus – noch mehr Wirtschaftsspionage betreiben und uns noch mehr Patente stehlen!!

  • Am 17. Februar 2015 um 20:44 von Andrea

    Von daher geht meine klare Aufforderung an Kaspersky und alle anderen AntiViren-Hersteller: kommt bitte eurem Job nach und entwickelt Abwehrtools für uns! Lasst und nicht so im Regen stehn!!

    Außerdem: ich verlange Antworten darauf, wie wir uns schützen können und solche Manipulationen der Festplatten respektive von deren Firmware und von den Firmwares der Grafikkarten und so weiter verhindern können!!

    Es muss doch einen Weg geben, wie wir dieses Teil kaputt kriegen!! Ran an die Arbeit!!

  • Am 17. Februar 2015 um 22:46 von Andrea

    Ach ja und gleich noch zwei weitere Fragen hinterher:

    5. wie entferne ich dieses Scheißteil von meinen Festplatten (intern sowie extern)??
    6. Wie riegele ich die usb-Ports gegen dieses Scheißteil ab??

    Von daher: auch hier erwarte ich Antworten sowohl vom BSI – welches immer noch nicht warnt trotz meiner Mail die ich denen bereits geschickt habe sowie an Konstantin von Notz über diese Kontaktmöglichkeit:

    http://www.gruene-bundestag.de/fraktion/abgeordnete_ID_4389869/abgeordnete/notz.html

    – und auch von den Herstellern von AntiViren-Programmen und Firewalls!! Das hier ist eine riesige Sauerei!! So geht es nicht meh weiter!! Und abschließend noch die Frage: gibt es einen Open-Hardware-Hersteller mit Festplatten mit Openfirmware?

  • Am 18. Februar 2015 um 8:00 von DeadFm

    Beruhigt euch mal…
    Die Angriffsziele gehen doch klar hervor.. Wenn ich von Militär und Behörden lese, dann sehe ich da, zumindest für mich selbst, keinerlei Proleme.
    Es ist natürlich eine Grundsatzgeschichte, allerdings finde ich es immer bemerkenswert, wie direkt ein oder mehrere „[…]blablalba NSA! blablabal[…]“ auftaucht… Das zeigt doch mal, wie viele wirklich mit diesem Thema umgehen: Einfach das sehen, was man gesagt und geschrieben kriegt, was in den Medien ruht und seine Sicht stumpf darauf beschränken.
    Niemand von denen interessiert sich für eure Lady Gaga oder Hobbit Raubkopien.

    • Am 18. Februar 2015 um 11:45 von punisher

      Teilweise stimme ich dir zu, trotzdem will ich keine Tür im System haben, die irgendwann von einer anderen crew dann doch verwendet wird. Nur weil diese hier nur „höhere“ Ziele haben, heißt es nicht, dass das alle si handhaben.

      • Am 20. Februar 2015 um 11:08 von @punisher

        Das Problem ist ja auch: wie kann man sicher sein, dass ausser der NSA nicht irgendjemand anderes diese Türen dann nutzt? Die NSA garantiert ja keinen exklusiven Alleinzugriff – und das (!) ist dann eben wirklich Mist.

        Wenn die NSA was von mir will: einfach vorbei kommen, und mit mir reden. Ich erzähle ihnen gerne, was sie wissen wollen. Aber der Generalverdacht durch das dauerbeschnüffeln, der ist Mist. :-P

        • Am 20. Februar 2015 um 14:29 von punisher

          Leider entwickelt sich die Welt in dieser hinsicht nur noch negativ. Wir haben zu viel Macht an Menschen abgeben, die uns angeblich vertreten. Was in meinen Augen nicht der Fall ist und immer offensichtlicher wird. Die Politiker, welche uns vertreten sollen, unternehmen nichts gegen das abhören und ausspionieren ihrer Bürger. Das ist einfach nur krank

  • Am 20. Februar 2015 um 10:36 von M@tze

    @Andrea Komm mal wieder runter. Da wird Dir NIEMAND helfen können! Das ist so ein hoher Level, gegen den kannst Du Dich (erst recht als Privatperson) nicht mehr wehren. Wenn Schadcode bereits in der Firmware verankert ist, hilft Dir kein IDS, Firewall, AV, usw. weiter. Auch wenn eine Möglichkeit gefunden werden sollte, all diese Programmen sauber von den Systemen zu entfernen (eher unwahrscheinlich), kann mna doch trotzdem nie sicher sein, dass da nicht noch was anderes im Hintergrund schlummert. Das Erste, was Du auf einer Security/Firewall/IDS Schulung lernst, und das wird Dir jeder vernünftige Securitybeauftragte weltweit bestätigen, ist: „Es gibt keine 100% Sicherheit! Es wird IMMER jemanden geben der die Mittel, den Wille und das Know How hat eine Lücke zu finden um in jedes beliebige System einzudringen!“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *