В докладе, опубликованном компанией, говорится, что инструменты, увязывавшиеся с Агентством национальной безопасности США, были созданы группой Equation.
Инструменты, эксплойты и вредоносные программы, которые применяются группой — названной так из-за своей любви к шифрованию — очень похожи на технологии АНБ, описанные в совершенно секретных документах, утечка которых произошла в 2013 году.
Наиболее серьезным атакам со стороны Equation подверглись Иран, Россия, Пакистан, Афганистан, Индия и Китай. Целями кибервзломщиков были военные организации, телекоммуникационные предприятия, посольства, правительства, исследовательские институты и исламские ученые.
Особенно сильное впечатление на специалистов «Лаборатории Касперского» произвела способность Equation заменять прошивку жесткого диска и внедрять туда низкоуровневый код, выполняющий роль интерфейса между оборудованием и программным обеспечением.
Применявшиеся Equation средства перепрограммируют прошивку жесткого диска и создают на нем скрытые сектора, доступ к которым может осуществляться только с помощью секретного интерфейса прикладного программирования. После того как вредоносная программа установлена, удалить ее уже невозможно: форматирование устройства или переустановка операционной системы здесь бессильны, и скрытые сектора в любом случае остаются на диске.
«Теоретически мы знали, что такое возможно, но в моей практике это единственный случай использования атакующими настолько изощренных средств», — отметил директор глобального центра исследований и анализа угроз «Лаборатории Касперского» Костин Райю.
Накопители компаний Seagate Technology, Western Digital Technologies, Hitachi, Samsung Electronics и Toshiba модифицировались с помощью двух вредоносных инструментов — Equationdrug и Grayfish.
Авторы доклады подчеркнули, что знания членов группы Equation выходят за рамки общедоступной документации, публиковавшейся поставщиками.
Им известны наборы уникальных команд ATA, которые используются производителями жестких дисков для форматирования своей продукции. Информация о большинстве команд ATA открыта, поскольку на ее основе вырабатываются стандарты, гарантирующие совместимость жесткого диска с любым типом компьютера.
«Но существуют и недокументированные команды ATA, применяемые для реализации функций внутреннего хранения и коррекции ошибок, — пояснил Райю. — По сути, они представляют собой закрытую операционную систему. Использование этих специфических кодов ATA возможно лишь при наличии доступа к документации, который скорее всего можно получить лишь за очень большие деньги. Перепрограммирование прошивки даже одного из семейств жестких дисков — невероятно сложная задача, а проделать это с разными дисками нескольких производителей почти невозможно. Откровенно говоря, не думаю, чтобы в мире нашлась еще хоть одна группа, способная на такое».
Похоже, Equation удалось оставить всех остальных представителей отрасли безопасности далеко позади. Обнаружить вмешательство подобного рода крайне затруднительно. Впрочем, перепрошивка диска или замена его встроенного программного обеспечения может закончиться и неудачей, потому что некоторые модули прошивки являются постоянными и не могут быть переформатированы.
С учетом высокой ценности технологии взлома участники группы Equation применяли ее крайне избирательно.
«В ходе наших исследований мы обнаружили всего несколько жертв, которые подверглись такой атаке, — подчеркнули авторы доклада. — Это свидетельствует о том, что жертвы представляли особую ценность, или атака проводилась в весьма необычных обстоятельствах».
Еще одним интригующим предметом изучения специалистами «Лаборатории Касперского» стал компьютерный червь Fanny, созданный в 2008 году и применявшийся при атаках в Азии и на Ближнем Востоке.
Для заражения компьютеров Fanny задействовал два эксплойта нулевого дня (под этим термином понимается программное обеспечение, использующее неизвестную на текущий момент программную уязвимость), код которых присутствовал и в Stuxnet. С помощью червя Windows Stuxnet совершались диверсии, направленные против иранской программы обогащения урана. Есть основания полагать, что это был совместный проект США и Израиля.
В «Лаборатории Касперского» считают, что использование одного и того же эксплойта нулевого дня не может быть совпадением. А значит, группа Equation и разработчики Stuxnet — либо одни и те же лица, либо люди, поддерживавшие тесные контакты друг с другом.
«Они определенно были связаны между собой», — указал Райю.
И Stuxnet, и Fanny разрабатывались для проникновения в изолированные от Интернета сети.
Группа Equation применяла также технологии, затрудняющие противнику организацию противодействия. Аналогичные методы АНБ использует для доставки вредоносных программ к целям.
В «Лаборатории Касперского» рассказали о том, как впоследствии некоторые участники научной конференции в Хьюстоне получили CD-ROM с материалами. На дисках были записаны два эксплойта нулевого дня и редко встречающаяся троянская программа Doublefantasy.
Скорее всего диск был подброшен или подменен. Специалисты «Лаборатории Касперского» не верят в то, что организаторы конференции сделали это намеренно. Но и случайно такое сочетание эксплойтов и вредоносной программы появиться на диске не могло.
В декабре 2013 года журнал Der Spiegel писал, что специальное подразделение АНБ Tailored Access Operations, специальное подразделение Агентства национальной безопасости США, долгое время занималось перехватом нового компьютерного оборудования в процессе его доставки. Такие операции считались одним из наиболее успешных методов проникновения в компьютеры.
Статья в немецком издании была одной из нескольких, появившихся после публикации сотрудником АНБ Эдвардом Сноуденом секретных документов.
Специалисты «Лаборатории Касперского» обнаружили след группы Equation, изучив компьютер, который принадлежал одному из ближневосточных исследовательских институтов и был заражен вредоносной программой Typhoid Mary.
На машине присутствовали фрагменты вредоносного кода с кусками текста на французском, русском и испанском языках, что свидетельствовало об атаках со стороны сразу нескольких групп. Кроме того, там был записан странный вредоносный драйвер, изучение которого позволило пролить свет на расширенную командно-управляемую инфраструктуру, используемую Equation.
Аналитики «Лаборатории Касперского» выявили более 300 доменов, связанных с Equation. Самый старый из них был зарегистрирован еще в 1996 году. У некоторых имен доменов срок регистрации уже истек, и «Лаборатория» зарегистрировала 20 из них на себя.
Большинство имен больше не использовалось Equation, но три домена оставались активными. Однако ключ к тому, чем Equation занимается сегодня, так и не был найден, поскольку в конце 2013 года группа сменила тактику.
«Три эти домена весьма интересны, — сообщил Райю. — И мы до сих пор не знаем, какие вредоносные программы здесь используются».