Hlavní navigace

Postřehy z bezpečnosti: Kaspersky popsal platformu EquationDrug

16. 3. 2015
Doba čtení: 5 minut

Sdílet

V dnešním díle postřehů se podíváme na nové informace ke kyberšpionážní platformě EquationDrug, povíme si o placebo záplatě z dílny Microsoftu, o Flash disku s potenciálem k odpálení našich PC, o distribuci malware v XML a .CH souborech, o jedné parádní OTP aplikaci a o nové hrozbě zaměřené na náruživé hráče.

Společnost Kaspersky uvolnila nové informace k již dříve objevené kyber špionážní platformě EquationDrug. Podle zveřejněných informací je EquationDrug jednou ze špionážních platforem, používaných skupinou Equation, jejíž operace se s jistotou datují někdy od roku 2001, ale dost možná i od roku 1996. Samotná platforma EquationDrug je ještě stále používána, a to již od roku 2003.

Platformu EquationDrug je možné rozšiřovat s pomocí mnoha modulů. Každý plugin má své vlastní číslo, společnost Kaspersky jich zatím objevila třicet. Podle zatím nejvyššího čísla, které měl objevený plugin, odhaduje Kaspersky počet zatím neobjevených modulů na 86. Z dosud identifikovaných modulů stojí určitě za zmínku již dříve probíraný modul, umožňující manipulaci s firmware harddisků, modul pro manipulaci se síťovým provozem, pro získávání informací o OS, pro procházení lokálních síťových zdrojů, jako jsou sdílené složky, pro sledování uživatelské aktivity v prohlížeči, sběr informací z prohlížeče a další.

Architektura celého frameworku pak připomíná mini-operační systém s komponentami kernel a user módu, které spolu komunikují přes vlastní rozhraní pro předávání zpráv. Platforma obsahuje sadu ovladačů, jádro platformy a již zmiňovaný velký počet pluginů. Každý plugin má kromě unikátního ID také čísla verzí, která určují množinu použitelných funkcí. Některé pluginy jsou závislé na dalších a bez nich nemohou samostatně pracovat. Některé moduly jsou pevně propojené s jádrem platformy, jiné jsou nahrávány dle potřeby. 


Autor: Kaspersky

Zajímavé jsou také informace o čase, nastavené kompilátorem a získané z hlaviček spustitelných souborů této platformy. Z jejich analýzy vyplývá, že většina byla kompilována v pracovních dnech, pravděpodobně v timezone UTC-3 nebo UTC-4. Kaspersky ovšem předpokládá, že tvůrci začínají v běžnou pracovní dobu a s časovými údaji nějak nemanipulovali.


Autor: Kaspersky

I když je EquationDrug často spojován s aktivitami NSA, samotná společnost Kaspersky je zdrženlivější a hovoří pouze o „nation-state“ skupině. Ve zprávě jsou také technické detaily některých komponent. Mimochodem dalším známým a opět o něco pokročilejším produktem skupiny Equation je platforma GrayFish.

Naše postřehy

Ruský bezpečnostní expert vystupující pod přezdívkou Dark Purple přidal další dobrý důvod, proč věnovat speciální pozornost tomu, co připojujeme do našich USB portů. Vytvořil zařízení velikosti USB Flash disku, schopné odpálit počítač. Princip je vlastně velice jednoduchý. S pomocí DC/DC měniče se nabijí uvnitř skryté kondenzátory na 110V, které jsou po nabití puštěny do USB portu. Operace se ve smyčce opakuje, což vede k odchodu některých součástek, či celého počítače, do křemíkového nebe.

Kdo by neznal malware Stuxnet, který svého času inzultoval íránský jaderný program, respektive odstředivky používané v procesu obohacování uranu. K samotnému napadení počítače docházelo po připojení Flash disku, který využíval do té doby neznámé chyby v LNK souborech, tedy souborech zástupců. Po otevření Flash disku ve Windows exploreru a po pouhém zobrazení upraveného zástupce, došlo na pozadí automaticky ke spuštění souboru s malwarem. Chybu, která toto umožňovala, záplatovala společnost Microsoft již v roce 2010, nicméně se ukazuje, že záplata selhala a všichni uživatelé MS Windows tak žili několik let ve falešném pocitu bezpečí. Doufejme, že to nebyl revoluční pokus Microsoftu převést osvědčené lékařské postupy do světa IT. Ať tak či onak, Microsoft ve svém posledním bulletinu oznámil, další pokus o záplatu. Věřím, že budeme všichni držet palce, aby to tentokráte klaplo.

V poslední době se objevily dvě nové spamové kampaně, které stojí za zmínku. Jedna z nich se vydávala za zprávu o příchozím faxu a měla v příloze .chm soubor. Ve chvíli, kdy uživatel spustil přiložený .chm soubor, bylo mu zobrazeno okno nápovědy. Mezi tím však škodlivý kód na pozadí stáhl a spustil nechvalně známý ransomware Cryptowall. Ačkoliv soubory .chm mohou působit neškodně, ve skutečnosti používají různé technologie, včetně javascriptu, který může uživatele po otevření souboru snadno přesměrovat na externí adresu. Jiná zajímavá vlna spamu sloužila k šíření bankovního trojského koně Dridex. K tomu používala makra, která byla ukryta uvnitř XML souborů (Extensible Markup Language). Zpráva se vydávala za informaci o platbě, která se má nacházet v příloze. Tou byl dokument vytvořený ve Wordu, ale uložený jako XML soubor, pojmenovaný přibližně jako “Rem_0443NF.xml.” Pokud byl na počítači nainstalován Word, došlo k otevření tohoto souboru ve Wordu, a pokud byla povolena makra, byl útok dokonán.

Česká republika je stále v hledáčku kyber zločinců, jak ukázal případ z minulého týdne, kdy na počítačích, na nichž se předtím uhnízdil virus, začali uživatelům nabízet instalaci údajné mobilní aplikace společnosti Seznam.cz. Princip je stejný jako u předchozích scénářů. Cílem je dostat nebezpečnou aplikaci do mobilního telefonu, aby tak útočník získal SMS s jednorázovým kódem internetového bankovnictví. Je trochu ironické, že aplikace by podle útočníků měla sloužit ke generování jednorázových hesel, jednorázové potvrzovací kódy však naopak předává útočníkům.

Zdá se, že tvůrci Cryptolockeru už měli dost nevytěžených počítačů náctiletých, kteří kromě Facebooku a hraní her nemají pro počítač jiné využití a proto na něm ani nemají žádné cenné dokumenty. Proto se nově rozhodli věnovat také tomuto dosud nevytěženému segmentu „trhu“. Nový klon Cryptolockeru nazvaný TeslaCrypt totiž kromě obvyklých souborů dokumentů, fotografií a videa šifruje také soubory spojené s hrami, případně i s platformou Steam. Jediné kliknutí tak nyní může zasloužilé hráče připravit o progress postavy za měsíce hraní, nebo těžce vybojovaný raritní předmět.

Na závěr jako vždy něco pozitivního. Společnosti Apple a Microsoft již vydaly záplaty na zranitelnost FREAK, o které tu minule podrobně informoval kolega.

root_podpora

A Mozilla vydala multiplatformní forenzní modul Masche. Jedná se o open source nástroj pro základní skenování procesů v paměti bez narušení normálních operací systému a je určen především pro rychlé hledání regulárních výrazů a řetězců v procesech běžících na rozáhlých systémech. Masche má být následně součástí rozsáhlejšího bezpečnostního systému Mozilla InvestiGator.

Ve zkratce

Pro pobavení

Humor – efektivní ochrana před vloupáním

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.