Kaspersky Lab otkrio je sofisticiranu operaciju sajber-špijunaže, vjerovatno organizovanu u SAD. Grupa “Equation” koja stoji iza operacije koristeći se malwareom sličnom onim koji koriste američke bezbjednosne službe, prodrla je u ključne institucije zemalja uključujući Iran i Rusiju.
“Equation Group”, kako je nazvana ova prijetnja koristi malware za inficiranje računara vlada, telekomunikacionih kompanija, vojske, institucija koje se bave nuklearnim istraživanjima i energetskim kompanijama u više od 30 zemalja svijeta.
Grupa je između ostalih alata za svoje napade koristila posebnu metodu inficiranja hard diskova, korišćenjem jedinstvenih ATA komandi koje koriste proizvođači kako bi formatirali uređaje.
“Equationov” softver može da reprogramira firmver diskova svih poznatih proizvođača i odvaja za sebe posebne, skrivene sektore kojima se pristupa samo kroz tajni API.
Kada ovakav malver zarazi disk, praktično ga je nemoguće obrisati.
“Većina ATA komandi je javna, jer predstavljaju standard koji obezbjeđuje kompatibilnost hard drajva sa bilo kojom vrstom računara. Međutim, postoje i nedokumentovane ATA komande koje proizvođači koriste za funkcije poput internog čuvanja podataka i ispravljanja grešaka”, objašnjava Kostin Raju iz Kaspersky Labsa.
On navodi da pristup takvim komandama vjerovatno košta mnogo novca.
“Sposobnost da reprogramirate firmver samo jedne vrste diskova je veoma kompleksna, a ako imate mogućnost da to uradite disku bilo kog proizvođača, to je nešto prosto nevjerovatno. Iskreno, ne vjerujem da na svetu ne postoji nijedna hakerska grupa koja ima mogućnosti kao Equation”, rekao je on.
Equation je aktivan vjerovatno od početka 1996. ali je vrhunac dostigao oko 2008. kada je razvio nekoliko nevjerovatno moćnih oružja. Kaspersky ih naziva Equationdrug, Doublefantasy, Triplefantasy, Grayfish, Fanny i Equationlaser.
Zajedno ovi malware paketi mogu da zaraze Windows računare, USB uređaje, pa čak i hard drajvove, i tako Equationu prenesu sve željene informacije iz napadnutih računara i pritom ostanu neprimijećeni godinama.
Kaspersky je pratio djelovanje Equation u više od 30 zemalja, uključujući Iran, Rusiju, Siriju, Avganistan, Hong Kong, Meksiko, SAD, Francusku, Švajcarsku, Veliku Britaniju i Indiju.
Zanimljivo je što je Equation izgleda strateški izbjegao inficiranje računara u Jordanu, Turskoj i Egiptu.
Kako se navodi u izvještaju, poznati Stuxnet, za koji se vjeruje da je delo CIA i Mosada, je “mala beba” za ovu operaciju.