Equation Group

Equation Group
Tipo	Amenaza persistente avanzada
Productos	Stuxnet, Flame, EternalBlue
	[editar datos en Wikidata]

The Equation Group, clasificado como una amenaza persistente avanzada, es un actor de amenazas altamente sofisticado sospechoso de estar vinculado a la unidad de Operaciones de Acceso Adaptado (TAO) de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos .^[1]^[2]^[3] Kaspersky Labs los describe como uno de los grupos de ciberataques más sofisticados del mundo y "los más avanzados... que hemos visto", operando junto a los creadores de Stuxnet y Flame .^[4]^[5] La mayoría de sus objetivos han estado en Irán, Rusia, Pakistán, Afganistán, India, Siria y Malí .^[5]

El nombre se originó por uso extensivo de cifrado que el grupo hacía. En 2015, Kaspersky documentó 500 infecciones de malware por parte del grupo en al menos 42 países, aunque reconoció que el número real podría ser de decenas de miles debido a su protocolo de autodestrucción.^[5]

En 2017, WikiLeaks publicó una discusión en el seno de la CIA sobre cómo había sido posible identificar al grupo.^[6] Un comentarista escribió que "Equation Group, tal como está etiquetado en el informe, no se relaciona con un grupo específico sino con una colección de herramientas" utilizadas para hackear.^[7]

Descubrimiento[editar]

En la Cumbre de Analistas de Kaspersky Security celebrada en México el 16 de febrero de 2015, Kaspersky Lab anunció el descubrimiento de Equation Group. Según el informe de Kaspersky Lab, el grupo ha estado activo desde al menos 2001, con más de 60 actores.^[8] El malware utilizado en sus operaciones, denominado EquationDrug y GrayFish, es capaz de reprogramar el firmware de los discos duros .^[4] Debido a las técnicas avanzadas involucradas y al alto grado de encubrimiento, se sospecha que el grupo tiene vínculos con la NSA, pero Kaspersky Lab no ha identificado a los actores detrás del grupo.

Vínculos probables con Stuxnet y la NSA[editar]

En 2015, los hallazgos de la investigación de Kaspersky sobre Equation Group señalaron que su cargador, "Grayfish", tenía similitudes con un cargador descubierto anteriormente, "Gauss", ^[repository] de otra serie de ataques, y señaló por separado que Equation Group usaba dos ataques de día cero. ataques utilizados posteriormente en Stuxnet ; los investigadores concluyeron que "el tipo similar de uso de ambos exploits juntos en diferentes gusanos informáticos, aproximadamente al mismo tiempo, indica que el grupo EQUATION y los desarrolladores de Stuxnet son los mismos o trabajan en estrecha colaboración".^[9] ^: 13

Firmware[editar]

También identificaron que la plataforma se había difundido en ocasiones por interdicción (interceptación de CD legítimos enviados por un organizador de congresos científicos por correo ),^[9] ^: 15y que la plataforma tenía la capacidad "sin precedentes" de infectar y transmitirse a través del firmware del disco duro de varios de los principales fabricantes de discos duros, y de crear y utilizar áreas de disco ocultas y sistemas de disco virtual para sus propósitos, una proeza que para lograrse requeriría de acceso al código fuente del fabricante,^[9] ^: 16–18y que la herramienta fue diseñada para precisión quirúrgica, yendo tan lejos como para excluir países específicos por IP y marcar como objetivos a nombres de usuario específicos en foros de internet .^[9] ^: 23–26

Palabras clave y marcas de tiempo[editar]

Las palabras clave de la NSA "STRAITACID" y "STRAITSHOOTER" se han encontrado dentro del malware. Además, las marcas de tiempo en el malware parecen indicar que los programadores trabajaron abrumadoramente de lunes a viernes en lo que correspondería a un día laboral de 08:00 a 17:00 (8:00 a. m. a 5:00 p. m.) en una zona horaria del este de los Estados Unidos. .^[10]

El exploit LNK[editar]

El equipo global de investigación y análisis de Kaspersky, también conocido como GReAT, afirmó haber encontrado una pieza de malware que contenía "privLib" de Stuxnet en 2008.^[11] Específicamente contenía el exploit LNK encontrado en Stuxnet en 2010. Fanny se clasifica como un gusano que afecta a determinados sistemas operativos Windows e intenta propagarse lateralmente a través de una conexión de red o almacenamiento USB . ^[repository] Kaspersky declaró que sospecha que Equation Group existe desde antes que Stuxnet, según el tiempo de compilación registrado de Fanny.^[4]

Enlace con IRATEMONK[editar]

F-Secure afirma que el firmware malicioso del disco duro de Equation Group es el programa TAO "IRATEMONK",^[12] uno de los elementos del catálogo NSA ANT expuesto en un artículo de Der Spiegel de 2013. IRATEMONK brinda al atacante la capacidad de tener su aplicación de software instalada de manera persistente en ordenadores de escritorio y portátiles, aunque se formatee el disco, se borren sus datos o se reinstale el sistema operativo. Infecta el firmware del disco duro, que a su vez agrega instrucciones al registro de inicio maestro del disco que hace que el software se instale cada vez que se inicia el ordenador.^[13] Es capaz de infectar ciertos discos duros de Seagate, Maxtor, Western Digital, Samsung,^[13] IBM, Micron Technology y Toshiba.^[4]

2016 la brecha de Equation Group[editar]

En agosto de 2016, un grupo de hackers autodenominado " The Shadow Brokers " anunció que había robado código de Equation Group.^[14] Kaspersky Lab notó similitudes entre el código robado y el código conocido anterior de las muestras de malware de Equation Group que tenía en su poder, incluidas peculiaridades exclusivas de la forma en que Equation Group implementa el algoritmo de cifrado RC6 y, por lo tanto, concluyó que el anuncio era legítimo.^[15] Las fechas más recientes de los archivos robados son de junio de 2013, lo que llevó a Edward Snowden a especular que un posible bloqueo resultante de su filtración de los esfuerzos de vigilancia global y nacional de la NSA detuvo la violación de Equation Group por parte de The Shadow Brokers. Los exploits contra Cisco Adaptive Security Appliances y los firewalls de Fortinet se presentaron en algunas muestras de malware publicadas por The Shadow Brokers.^[16] EXTRABACON, un exploit de Simple Network Management Protocol contra el software ASA de Cisco, era un exploit de día cero en el momento del anuncio.^[16] Juniper también confirmó que sus firewalls NetScreen se vieron afectados.^[17] El exploit EternalBlue se utilizó para llevar a cabo el dañino ataque de ransomware WannaCry en todo el mundo.

Referencias[editar]

↑ Fox-Brewster, Thomas (16 de febrero de 2015). «Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'». Forbes. Consultado el 24 de noviembre de 2015.
↑ Menn, Joseph (17 de febrero de 2015). «Russian researchers expose breakthrough U.S. spying program». Reuters. Consultado el 24 de noviembre de 2015.
↑ «The nsa was hacked snowden documents confirm». The Intercept. 19 de agosto de 2016. Consultado el 19 de agosto de 2016.
↑ ^a ^b ^c ^d GReAT (16 de febrero de 2015). «Equation: The Death Star of Malware Galaxy». Securelist.com. Kaspersky Lab. Consultado el 16 de agosto de 2016. «SecureList, Costin Raiu (director of Kaspersky Lab's global research and analysis team): "It seems to me Equation Group are the ones with the coolest toys. Every now and then they share them with the Stuxnet group and the Flame group, but they are originally available only to the Equation Group people. Equation Group are definitely the masters, and they are giving the others, maybe, bread crumbs. From time to time they are giving them some goodies to integrate into Stuxnet and Flame."».
↑ ^a ^b ^c Goodin, Dan (16 de febrero de 2015). «How "omnipotent" hackers tied to NSA hid for 14 years—and were found at last». Ars Technica. Consultado el 24 de noviembre de 2015.
↑ Goodin, Dan (7 de marzo de 2017). «After NSA hacking exposé, CIA staffers asked where Equation Group went wrong». Ars Technica. Consultado el 21 de marzo de 2017.
↑ «What did Equation do wrong, and how can we avoid doing the same?». Vault 7. WikiLeaks. Consultado el 21 de marzo de 2017.
↑ «Equation Group: The Crown Creator of Cyber-Espionage». Kaspersky Lab. 16 de febrero de 2015. Consultado el 24 de noviembre de 2015.
↑ ^a ^b ^c ^d «Equation Group: Questions and Answers (Version: 1.5)». Kaspersky Lab. February 2015. Archivado desde el original el 17 de febrero de 2015. Consultado el 24 de noviembre de 2015. (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
↑ Goodin, Dan (11 de marzo de 2015). «New smoking gun further ties NSA to omnipotent "Equation Group" hackers». Ars Technica. Consultado el 24 de noviembre de 2015.
↑ «A Fanny Equation: "I am your father, Stuxnet"». Kaspersky Lab. 17 de febrero de 2015. Consultado el 24 de noviembre de 2015.
↑ «The Equation Group Equals NSA / IRATEMONK». F-Secure Weblog : News from the Lab. 17 de febrero de 2015. Consultado el 24 de noviembre de 2015.
↑ ^a ^b Schneier, Bruce (31 de enero de 2014). «IRATEMONK: NSA Exploit of the Day». Schneier on Security. Consultado el 24 de noviembre de 2015.
↑ Goodin, Dan (15 de agosto de 2016). «Group claims to hack NSA-tied hackers, posts exploits as proof». Ars Technica. Consultado el 19 de agosto de 2016.
↑ Goodin, Dan (16 de agosto de 2016). «Confirmed: hacking tool leak came from "omnipotent" NSA-tied group». Ars Technica. Consultado el 19 de agosto de 2016.
↑ ^a ^b Thomson, Iain (17 de agosto de 2016). «Cisco confirms two of the Shadow Brokers' 'NSA' vulns are real». The Register. Consultado el 19 de agosto de 2016.
↑ Pauli, Darren (24 de agosto de 2016). «Equation Group exploit hits newer Cisco ASA, Juniper Netscreen». The Register. Consultado el 30 de agosto de 2016.

Enlaces externos[editar]

Grupo de ecuaciones: preguntas y respuestas de Kaspersky Lab, versión: 1.5, febrero de 2015
Una ecuación de Fanny: "Soy tu padre, Stuxnet" de Kaspersky Lab, febrero de 2015

fuente fanny.bmp - en GitHub, 30 de noviembre de 2020

Redacción técnica: en GitHub, 10 de febrero de 2021

[1] Fox-Brewster, Thomas (16 de febrero de 2015). «Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'». Forbes. Consultado el 24 de noviembre de 2015.

[2] Menn, Joseph (17 de febrero de 2015). «Russian researchers expose breakthrough U.S. spying program». Reuters. Consultado el 24 de noviembre de 2015.

[3] «The nsa was hacked snowden documents confirm». The Intercept. 19 de agosto de 2016. Consultado el 19 de agosto de 2016.

[malware-galaxy-4] GReAT (16 de febrero de 2015). «Equation: The Death Star of Malware Galaxy». Securelist.com. Kaspersky Lab. Consultado el 16 de agosto de 2016. «SecureList, Costin Raiu (director of Kaspersky Lab's global research and analysis team): "It seems to me Equation Group are the ones with the coolest toys. Every now and then they share them with the Stuxnet group and the Flame group, but they are originally available only to the Equation Group people. Equation Group are definitely the masters, and they are giving the others, maybe, bread crumbs. From time to time they are giving them some goodies to integrate into Stuxnet and Flame."».

[ars-5] Goodin, Dan (16 de febrero de 2015). «How "omnipotent" hackers tied to NSA hid for 14 years—and were found at last». Ars Technica. Consultado el 24 de noviembre de 2015.

[Goodin_CIA-6] Goodin, Dan (7 de marzo de 2017). «After NSA hacking exposé, CIA staffers asked where Equation Group went wrong». Ars Technica. Consultado el 21 de marzo de 2017.

[What_did_Equation_do_wrong-7] «What did Equation do wrong, and how can we avoid doing the same?». Vault 7. WikiLeaks. Consultado el 21 de marzo de 2017.

[kaspersky-8] «Equation Group: The Crown Creator of Cyber-Espionage». Kaspersky Lab. 16 de febrero de 2015. Consultado el 24 de noviembre de 2015.

[Kaspersky1-9] «Equation Group: Questions and Answers (Version: 1.5)». Kaspersky Lab. February 2015. Archivado desde el original el 17 de febrero de 2015. Consultado el 24 de noviembre de 2015. (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).

[10] Goodin, Dan (11 de marzo de 2015). «New smoking gun further ties NSA to omnipotent "Equation Group" hackers». Ars Technica. Consultado el 24 de noviembre de 2015.

[11] «A Fanny Equation: "I am your father, Stuxnet"». Kaspersky Lab. 17 de febrero de 2015. Consultado el 24 de noviembre de 2015.

[FSecure-12] «The Equation Group Equals NSA / IRATEMONK». F-Secure Weblog : News from the Lab. 17 de febrero de 2015. Consultado el 24 de noviembre de 2015.

[IRATEMONK-13] Schneier, Bruce (31 de enero de 2014). «IRATEMONK: NSA Exploit of the Day». Schneier on Security. Consultado el 24 de noviembre de 2015.

[14] Goodin, Dan (15 de agosto de 2016). «Group claims to hack NSA-tied hackers, posts exploits as proof». Ars Technica. Consultado el 19 de agosto de 2016.

[15] Goodin, Dan (16 de agosto de 2016). «Confirmed: hacking tool leak came from "omnipotent" NSA-tied group». Ars Technica. Consultado el 19 de agosto de 2016.

[EXTRABACON-16] Thomson, Iain (17 de agosto de 2016). «Cisco confirms two of the Shadow Brokers' 'NSA' vulns are real». The Register. Consultado el 19 de agosto de 2016.

[17] Pauli, Darren (24 de agosto de 2016). «Equation Group exploit hits newer Cisco ASA, Juniper Netscreen». The Register. Consultado el 30 de agosto de 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]