Equation Group: Kaspersky identifiziert „höchstentwickelte Cyberangreifer der Welt“

Kaspersky Lab hat auf seinem Security Analyst Summit im mexikanischen Cancún Forschungsergebnisse über eine Hackergruppe namens Equation Group veröffentlicht. Dem Sicherheitsunternehmen zufolge treibt sie mindestens seit 2001, wenn nicht sogar seit 1996 ihr Unwesen, und setzt extrem hochentwickelte Angriffstechniken ein. Das Kaspersky Lab Global Research and Analysis Team (GReAT) bezeichnet sie daher als „Vorfahren“ der Stuxnet– und Flame-Entwickler sowie als einen der „höchstentwickelten Cyberangreifer der Welt“.

Die Equation Group nutzt verschiedene Malware-Plattformen, von denen einige noch deutlich komplexer und ausgefeilter sind als etwa die Spionagesoftware Regin, die im Dezember auch auf Rechnern des Kanzleramts entdeckt wurde. Nach der Analyse von mehr als 60 weltweit agierenden Cyberangreifern, kommt Kaspersky zu dem Schluss, dass die Equation Group weit über alles hinaus gehe, was man bisher beobachtet habe.

Die Hackergruppe ist den Sicherheitsexperten zufolge in mehrerlei Hinsicht einzigartig: Sie nutzt Tools, die extrem kompliziert und teuer zu entwickeln sind, agiert sehr professionell hinsichtlich der Art, wie sie ihre Ziele infiziert, stiehlt Daten und verschleiert dabei ihre Identität, und setzt ebenfalls „klassische“ Spionagetechniken ein, um schädliche Payloads auszuliefern.

Um ihre Ziele zu infizieren, verwendet die Gruppe eine Reihe Trojaner und andere Malware. Zum Umfang des Equation-Group-Toolkits zählen auch mindestens zwei Stuxnet-Varianten sowie diverse Zero-Day-Exploits, die sich sowohl gegen Windows- und Mac-OS-Rechner als auch gegen Browser richten. GReAT-Direktor Costin Raiu sagte auf dem Security Analyst Summit, dass die Gruppe wahrscheinlich auch über iPhone-Exploits verfüge, „aber wir haben dafür noch keine Bestätigung“. „Diese Leute machen keine Fehler. Und falls doch, dann sehr sehr selten.“

Zu den von der Gruppe eingesetzten Spezialwerkzeugen zählen namentlich EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish. Zwei davon stechen aus der Masse heraus: Fanny, benannt nach der auf kompromittierten Systemen zu findenden Bitmap-Datei „fanny.bmp“, ist ein 2008 entwickelter Computerwurm, der sich gegen Ziele im Nahen Osten und in Asien richtet. Er befällt USB-Festplatten und findet sich Raiu zufolge noch heute auf Tausenden USB-Medien. Mit ihm verschaffen sich Angreifer Zugang zu eigentlich abgeschotteten Air-Gap-Netzwerken, indem die Malware einen einzigartigen USB-basierten Kommando- und Kontrollmechanismus verwendet, um einen versteckten Speicherbereich auf einem USB-Medium anzulegen, in dem gestohlene Daten abgelegt und Befehle ausgeführt werden können.

Zeitliche Übersicht über die von der Equation Group eingesetzte Malware (Bild: Kaspersky)

Infiziert Fanny einen nicht mit dem Internet verbundenen Rechner, sammelt er Systeminformationen und speichert sie in dem versteckten Bereich. Sollte sich der Computer später mit dem Internet verbinden, wird der Wurm aktiv und schickt die Daten an einen Command and Control Center. Will ein Angreifer Befehle in einem abgeschotteten Netzwerk ausführen, kann er diese in dem versteckten Speicherbereich hinterlegen und anschließend aktivieren. Auf diese Weise soll die Equation Group mehr als 300 Domains und über 100 Server in Ländern wie den USA, Großbritannien, Panama und Kolumbien kompromittiert haben.

Das zweite besonders ausgefeilte Werkzeug ist ein Plug-in mit dem Dateinamen „nls_933w.dll“, das Kaspersky als das „ultimative Cyberangriffs-Tool“ bezeichnet. Es kann auf niedriger Ebene mit einer Festplatte oder SSD interagieren und sogar deren Firmware umschreiben. Dadurch ist die Malware nicht nur extrem schwer zu entdecken und zu entfernen, sondern übersteht sogar eine Neuformatierung des Laufwerks oder eine Neuinstallation des Systems. Zugleich kann sie ebenfalls einen versteckten Speicherbereich anlegen, der nahezu unmöglich zu entdecken ist. Kaspersky hat bisher zwölf Hersteller ausgemacht, deren Laufwerke anfällig sind, darunter Seagate, Western Digital und Samsung. Beim Verdacht einer Infektion empfehlen die Sicherheitsexperten die sofortige Vernichtung des Laufwerks.

Als „Vorfahren“ anderer Entwickler von Cyberbedrohungen wie Stuxnet und Flame bezeichnet Kasperksy die Equation Group, weil sie schon Zugang zu Zero-Day-Exploits hatte, noch bevor diese von Stuxnet und Flame ausgenutzt wurden. Offenbar hat die Gruppe diese Exploits zu irgendeinem Zeitpunkt anderen Cyberangreifern zur Verfügung gestellt. Beispielsweise nutzte Fanny schon 2008 zwei Zero-Day-Exploits, die Stuxnet erst im Juni 2009 und März 2010 verwendete. „Tatsächlich deutet die ähnliche Nutzung der beiden Exploits in verschiedenen Computerwürmern zu etwa derselben Zeit darauf hin, dass die Equation Group und die Stuxnet-Entwickler entweder identisch sind oder eng zusammengearbeitet haben“, so Raiu.

Seit 2001 habe die Equation Group Tausende oder sogar Zehntausende Systeme mit ihrem Arsenal an Bootkits und Malware infiziert, so Kaspersky. Zu ihren Zielen gehörten Einrichtungen aus den Bereichen Militär, Telekommunikation, Energie, Nanotechnologie und Medien. Raiu geht von rund 2000 Opfern im Monat aus. Auf den ersten Blick erscheine diese Zahl zwar niedrig, aber wenn man sich die Art der Ziele vor Augen führe, sei sie „ziemlich beängstigend“.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.