Kaspersky: Equation Group sind die raffiniertesten Cyberkriminellen der Welt

Die Hackergruppe Equation Group ist mindestens seit 2001 aktiv und agiert äußert professionell. Sie verwendet verschiedenartige Malware, die höchst komplex und teuer zu entwickeln ist. Darunter beispielsweise der Wurm Fanny, der sich noch heute auf Tausenden USB-Medien befindet. Sie sollen auch über Zero-Day-Exploits für Windows, Mac OS und vermutlich auch das Apple iPhone verfügen. Zu ihren Zielen gehörten Einrichtungen aus den Bereichen Militär, Telekommunikation, Energie, Nanotechnologie und Medien.

Der Sicherheitsanbieter Kaspersky Lab hat im Rahmen der Security Analyst Summit, die in der im südöstlichsten Teil von Mexiko gelegenen Küstenstadt Cancún stattgefunden hat, nach der kürzlich veröffentlichten Untersuchung zur Carbanak-Gang einen zweiten Forschungsbericht vorgelegt, der Informationen über eine weitere raffinierte Hackergruppierungen namens Equation Group preisgibt. Laut dem Sicherheitsexperten ist diese mindestens seit 2001 aktiv, wenn nicht schon seit 1996, und verwendet extrem hochentwickelte Methoden, um Computersysteme zu infizieren. Die Hacker gelten als die “Urahnen” der Entwickler von Stuxnet und Flame und zählen sich zu den am höchsten entwickelten Cyberankriminellen der Welt, so das Kaspersky Lab Global Research and Analysis Team (GReAT).

Hacker (Bild: Shutterstock).

Die Hackergruppe Equation Group ist mindestens seit 2001 aktiv und agiert äußert professionell. Sie verwendet verschiedenartige Malware, die höchst komplex und teuer zu entwickeln ist. Darunter beispielsweise der Wurm Fanny, der sich noch heute auf Tausenden USB-Medien befindet. Sie sollen auch über Zero-Day-Exploits für Windows, Mac OS und vermutlich auch das Apple iPhone verfügen. Zu ihren Zielen gehörten Einrichtungen aus den Bereichen Militär, Telekommunikation, Energie, Nanotechnologie und Medien (Bild: Shutterstock).

Die von der Equation Group eingesetzte verschiedenartige Schadsoftware ist zum Teil noch erheblich komplexer und ausgefeilter als etwa die Spyware Regin, die im Dezember auch auf Rechnern des Kanzleramts gefunden wurde. Kaspersky hat nach eigenen Angaben mehr als 60 global agierende Cyberkriminelle analysiert – und die Equation Group gehe über alles hinaus, was der Sicherheitsanbieter bisher gesehen hat.

Die Hackergruppe ist Kaspersky zufolge in mehrerlei Hinsicht einzigartig: Sie verwendet Tools, die extrem kompliziert und teuer zu entwickeln sind und agiert sehr professionell hinsichtlich der Art und Weise, wie sie ihre Ziele infiziert. Des Weiteren stiehlt sie Daten, verschleiert dabei ihre Identität und setzt auch “klassische” Spionagetechniken ein, um schädliche Payloads auszuliefern.

Um ihre Ziele zu infizieren, verwendet die Gruppe eine Reihe Trojaner und andere Malware. Zum Umfang des Equation-Group-Toolkits zählen auch mindestens zwei Stuxnet-Varianten sowie diverse Zero-Day-Exploits, die sich sowohl gegen Windows- und Mac-OS-Rechner als auch gegen Browser richten. GReAT-Direktor Costin Raiu sagte auf dem Security Analyst Summit, dass die Gruppe wahrscheinlich auch über iPhone-Exploits verfüge, “aber wir haben dafür noch keine Bestätigung”. “Diese Leute machen keine Fehler. Und falls doch, dann sehr sehr selten.”

Zu den von der Gruppe eingesetzten Hacker-Werkzeugen zählen namentlich EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish. Zwei davon stechen aus der Masse der im umlaufbefindlichen Tools heraus: Fanny, benannt nach der auf kompromittierten Systemen zu findenden Bitmap-Datei “fanny.bmp”, ist ein 2008 entwickelter Computerwurm, der sich gegen Ziele im Nahen Osten und in Asien richtet. Er befällt USB-Festplatten und findet sich Raiu zufolge noch heute auf Tausenden USB-Medien. Mit ihm verschaffen sich Angreifer Zugang zu eigentlich abgeschotteten Air-Gap-Netzwerken, indem die Malware einen einzigartigen USB-basierten Kommando- und Kontrollmechanismus verwendet, um einen versteckten Speicherbereich auf einem USB-Medium anzulegen, in dem gestohlene Daten abgelegt und Befehle ausgeführt werden können.

 (Bild: Kaspersky).

Diese Malware setzte die Equation Group seit 2001 ein (Bild: Kaspersky).

Infiziert Fanny einen nicht mit dem Internet verbundenen Rechner, sammelt er Systeminformationen und speichert sie in dem versteckten Bereich. Sollte sich der Computer später mit dem Internet verbinden, wird der Wurm aktiv und schickt die Daten an einen Command and Control Center. Will ein Angreifer Befehle in einem abgeschotteten Netzwerk ausführen, kann er diese in dem versteckten Speicherbereich hinterlegen und anschließend aktivieren. Auf diese Weise soll die Equation Group mehr als 300 Domains und über 100 Server in Ländern wie den USA, Großbritannien, Panama und Kolumbien kompromittiert haben.

Das zweite besonders ausgefeilte Werkzeug ist ein Plug-in mit dem Dateinamen “nls_933w.dll”, das Kaspersky als das “ultimative Cyberangriffs-Tool” bezeichnet. Es kann auf niedriger Ebene mit einer Festplatte oder SSD interagieren und sogar deren Firmware umschreiben. Dadurch ist die Malware nicht nur extrem schwer zu entdecken und zu entfernen, sondern übersteht sogar eine Neuformatierung des Laufwerks oder eine Neuinstallation des Systems. Zugleich kann sie ebenfalls einen versteckten Speicherbereich anlegen, der nahezu unmöglich zu entdecken ist. Kaspersky hat bisher zwölf Hersteller ausgemacht, deren Laufwerke anfällig sind, darunter Seagate, Western Digital und Samsung. Beim Verdacht einer Infektion empfehlen die Sicherheitsexperten die sofortige Vernichtung des Laufwerks.

Als “Vorfahren” anderer Entwickler von Cyberbedrohungen wie Stuxnet und Flame bezeichnet Kasperksy die Equation Group, weil sie schon Zugang zu Zero-Day-Exploits hatte, noch bevor diese von Stuxnet und Flame ausgenutzt wurden. Offenbar hat die Gruppe diese Exploits zu irgendeinem Zeitpunkt anderen Cyberangreifern zur Verfügung gestellt. Beispielsweise nutzte Fanny schon 2008 zwei Zero-Day-Exploits, die Stuxnet erst im Juni 2009 und März 2010 verwendete. “Tatsächlich deutet die ähnliche Nutzung der beiden Exploits in verschiedenen Computerwürmern zu etwa derselben Zeit darauf hin, dass die Equation Group und die Stuxnet-Entwickler entweder identisch sind oder eng zusammengearbeitet haben”, so Raiu.

Seit 2001 habe die Equation Group Tausende oder sogar Zehntausende Systeme mit ihrem Arsenal an Bootkits und Malware infiziert, so Kaspersky. Zu ihren Zielen gehörten Einrichtungen aus den Bereichen Militär, Telekommunikation, Energie, Nanotechnologie und Medien. Raiu geht von rund 2000 Opfern im Monat aus. Auf den ersten Blick erscheine diese Zahl zwar niedrig, aber wenn man sich die Art der Ziele vor Augen führe, sei sie “ziemlich beängstigend”.

[Mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Kaspersky: Equation Group sind die raffiniertesten Cyberkriminellen der Welt

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *