Descargar el PDF “Equation group: questions and answers” (eng)
“Houston, tenemos un problema”
En un día soleado del año 2009, Grzegorz Brzęczyszczykiewicz1 tomó un vuelo a la pujante ciudad de Houston para asistir a una prestigiosa conferencia científica. Como uno de los principales científicos en su campo, Grzegorz estaba acostumbrado a estos viajes. En los siguientes días, Brzęczyszczykiewicz intercambió tarjetas personales con otros científicos y habló sobre los temas importantes que los científicos de alto nivel suelen tratar (un eufemismo equivalente a “¿quién sabe?”). Pero, todo lo bueno termina, y al concluir la conferencia, Grzegorz Brzęczyszczykiewicz tomó el vuelo que lo llevaría de regreso a casa, llevando consigo muchas impresiones de un memorable evento. Un tiempo después, como suele suceder en este tipo de acontecimientos, los organizadores enviaron a todos los participantes un CDROM con muchas fotos de la conferencia. Cuando Grzegorz insertó el CDROM en su ordenador y se abrió la presentación de dispositivas, ni sospechó que se estaba convirtiendo en la víctima de una organización de ciberespionaje casi omnipotente que acababa de infectar su ordenador utilizando tres exploits, dos de ellos del tipo día-cero.
Una cita con el “dios” del ciberespionaje
No se sabe cuándo el grupo Equation2 comenzó su ascenso. Algunas de las primeras muestras de este programa malicioso se compilaron en el 2002. Sin embargo, su servidor de comando y control (C&C) se registró en agosto de 2011. Otros C&Cs que utilizó el grupo Equation parecen haberse registrado incluso en 1996, lo que indicaría que este grupo ha estado activo por al menos dos décadas. Por muchos años han interactuado con otros grupos poderosos, como Stuxnet y Flame, siempre desde una posición de superioridad, ya que tenían acceso a exploits antes que los demás.
Desde el 2001, el grupo Equation se ha dedicado a infectar miles o quizás hasta decenas de miles de víctimas en todo el mundo, en los siguientes sectores:
- Instituciones gubernamentales y diplomáticas
- Telecomunicaciones
- Aeroespacial
- Energía
- Investigación nuclear
- Petróleo y gas
- Fuerzas armadas
- Nanotecnología
- Activistas y académicos musulmanes
- Medios de comunicación
- Transporte
- Instituciones financieras
- Compañías de desarrollo de tecnologías de cifrado
Para infectar a sus víctimas, el grupo Equation cuenta con un arsenal poderoso de “implantes” (así llaman a sus troyanos), incluyendo los siguientes a los que hemos bautizado: EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY y GRAYFISH. Sin duda existen otros “implantes” aún por ser identificados.
El grupo tiene muchos nombres clave para sus herramientas e implantes, incluyendo SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER y GROK. Por más increíble que parezca para un grupo élite como este, uno de sus desarrolladores cometió el error imperdonable de dejarnos su nombre de usuario: "RMGREE5", en una de las muestras del programa malicioso, como parte de su carpeta de trabajo: "c:usersrmgree5".
Quizás la herramienta más poderosa en el arsenal del grupo Equation sea un misterioso módulo conocido sólo por su nombre críptico: "nls_933w.dll". Este módulo les permite reprogramar el firmware del disco duro para una docena de marcas de discos duros, incluyendo Seagate, Western Digital, Toshiba, Maxtor e IBM. Este es un asombroso logro técnico y es una muestra de las habilidades del grupo.
En los últimos años, el grupo Equation ha lanzado varios ataques. Uno de ellos sobresale: el gusano Fanny. Presuntamente compilado en julio de 2008, fue el primero que nuestros sistemas detectaron y bloquearon en diciembre de 2008. Fanny usaba dos exploits tipo día-cero, que posteriormente se revelaron durante el descubrimiento de Stuxnet. Para propagarse utilizaba el exploit LNK de Stuxnet y unidades USB. Para elevar sus privilegios, Fanny usaba una vulnerabilidad reparada con el boletín MS09-025 de Microsoft, que también se usó en una de las primeras versiones de Stuxnet de 2009.
Exploit LNK utilizado por Fanny
Es importante señalar que estos dos exploits se usaron en Fanny antes de que se integraran a Stuxnet, lo que indica que el grupo Equation tuvo acceso a estos día-cero antes que el grupo Stuxnet. El propósito principal de Fanny era el mapeo de redes físicamente segmentadas (o air-gapped). Para ello, utilizaba un mecanismo de comando y control único, basado en USB, que les permitía a los atacantes enviar y recibir datos desde las redes físicamente separadas por los air-gaps.
En los próximos días publicaremos más detalles sobre el grupo Equation y sus ciberataques. El primer documento que publicaremos serán las preguntas frecuentes sobre el grupo con los indicadores de infección.
Nuestra intención al publicar esta información es llamar la atención de la comunidad de seguridad informática y de los investigadores independientes para que puedan ampliar la comprensión de estos ataques. Cuanto más investiguemos estas operaciones de ciberespionaje, más nos daremos cuenta de lo poco que sabemos ahora. Compartiendo lo que sabemos podremos levantar el velo y trabajar por un (ciber-)mundo más seguro.
Descargar el PDF “Equation group: questions and answers”
Indicadores de infección (“uno por cada”):
Nombre | EquationLaser |
MD5 | 752af597e6d9fd70396accc0b9013dbe |
Tipo | Instalador de EquationLaser |
Compilado | Lun 18 Oct 15:24:05 2004 |
Nombre | Disco de Houston “autorun.exe” con exploits EoP |
MD5 | 6fe6c03b938580ebf9b82f3b9cd4c4aa |
Tipo | Paquete EoP y lanzador de malware |
Compilado | Mié 23 Dic 15:37:33 2009 |
Nombre | DoubleFantasy |
MD5 | 2a12630ff976ba0994143ca93fecd17f |
Tipo | Instalador de DoubleFantasy |
Compilado | Vie 30 Abr 01:03:53 2010 |
Nombre | EquationDrug |
MD5 | 4556ce5eb007af1de5bd3b457f0b216d |
Tipo | Instalador de EquationDrug ("LUTEUSOBSTOS") |
Compilado | Mar 11 Dic 20:47:12 2007 |
Nombre | GrayFish |
MD5 | 9b1ca66aab784dc5f1dfe635d8f8a904 |
Tipo | Instalador de GrayFish |
Compilado | Vie 01 Feb 22:15:21 2008 (instalador) |
Nombre | Fanny |
MD5 | 0a209ac0de4ac033f31d6ba9191a8f7a |
Tipo | Gusano Fanny |
Compilado | Lun 28 Jul 11:11:35 2008 |
Nombre | TripleFantasy | |
MD5 | 9180d5affe1e5df0717d7385e7f54386 | cargador (17920 bytes .DLL) |
Tipo | ba39212c5b58b97bfc9f5bc431170827 | carga cifrada (.DAT) |
Compilado | varios, posible falsificación |
Nombre | _SD_IP_CF.dll – desconocido |
MD5 | 03718676311de33dd0b8f4f18cffd488 |
Tipo | Instalador de DoubleFantasy + paquete del exploit LNK |
Compilado | Vie 13 Feb 10:50:23 2009 |
Nombre | nls_933w.dll |
MD5 | 11fb08b9126cdb4668b3f5135cf7a6c5 |
Tipo | Módulo de reprogramación HDD |
Compilado | Mar 15 Jun 20:23:37 2010 |
Nombre | standalonegrok_2.1.1.1 / GROK |
MD5 | 24a6ec8ebf9c0867ed1c097f4a653b8d |
Tipo | Keylogger de GROK |
Compilado | Mar 09 Ago 03:26:22 2011 |
Servidores C&C (nombres de hosts e IPs):
DoubleFantasy:
avidnewssource[.]com
businessdealsblog[.]com
businessedgeadvance[.]com
charging-technology[.]com
computertechanalysis[.]com
config.getmyip[.]com – CENOTE DE KASPERSKY LAB
globalnetworkanalys[.]com
melding-technology[.]com
myhousetechnews[.]com – CENOTE DE KASPERSKY LAB
newsterminalvelocity[.]com – CENOTE DE KASPERSKY LAB
selective-business[.]com
slayinglance[.]com
successful-marketing-now[.]com – CENOTE DE KASPERSKY LAB
taking-technology[.]com
techasiamusicsvr[.]com – CENOTE DE KASPERSKY LAB
technicaldigitalreporting[.]com
timelywebsitehostesses[.]com
www.dt1blog[.]com
www.forboringbusinesses[.]com
EquationLaser:
gar-tech[.]com – CENOTE DE KASPERSKY LAB
Fanny:
EquationDrug:
easyadvertonline[.]com
newip427.changeip[.]net – CENOTE DE KASPERSKY LAB
ad-servicestats[.]net – CENOTE DE KASPERSKY LAB
subad-server[.]com – CENOTE DE KASPERSKY LAB
ad-noise[.]net
ad-void[.]com
aynachatsrv[.]com
damavandkuh[.]com
fnlpic[.]com
monster-ads[.]net
nowruzbakher[.]com
sherkhundi[.]com
quik-serv[.]com
nickleplatedads[.]com
arabtechmessenger[.]net
amazinggreentechshop[.]com
foroushi[.]net
technicserv[.]com
goldadpremium[.]com
honarkhaneh[.]net
parskabab[.]com
technicupdate[.]com
technicads[.]com
customerscreensavers[.]com
darakht[.]com
ghalibaft[.]com
adservicestats[.]com
247adbiz[.]net – CENOTE DE KASPERSKY LAB
webbizwild[.]com
roshanavar[.]com
afkarehroshan[.]com
thesuperdeliciousnews[.]com
adsbizsimple[.]com
goodbizez[.]com
meevehdar[.]com
xlivehost[.]com
gar-tech[.]com – CENOTE DE KASPERSKY LAB
downloadmpplayer[.]com
honarkhabar[.]com
techsupportpwr[.]com
webbizwild[.]com
zhalehziba[.]com
serv-load[.]com
wangluoruanjian[.]com
islamicmarketing[.]net
noticiasftpsrv[.]com
coffeehausblog[.]com
platads[.]com
havakhosh[.]com
toofanshadid[.]com
bazandegan[.]com
sherkatkonandeh[.]com
mashinkhabar[.]com
quickupdateserv[.]com
rapidlyserv[.]com
GrayFish:
business-made-fun[.]com
businessdirectnessource[.]com
charmedno1[.]com
cribdare2no[.]com
dowelsobject[.]com
following-technology[.]com
forgotten-deals[.]com
functional-business[.]com
housedman[.]com
industry-deals[.]com
listennewsnetwork[.]com
phoneysoap[.]com
posed2shade[.]com
quik-serv[.]com
rehabretie[.]com
speedynewsclips[.]com
teatac4bath[.]com
unite3tubes[.]com
unwashedsound[.]com
TripleFantasy:
brittlefilet[.]com
cigape[.]net
crisptic01[.]net
fliteilex[.]com
itemagic[.]net
micraamber[.]net
mimicrice[.]com
rampagegramar[.]com
rubi4edit[.]com
rubiccrum[.]com
rubriccrumb[.]com
team4heat[.]net
tropiccritics[.]com
Servidores de explotación del grupo Equation:
suddenplot[.]com
technicalconsumerreports[.]com
technology-revealed[.]com
IPs hard-coded en bloques de configuración de programas maliciosos:
190.242.96.212
190.60.202.4
195.128.235.227
195.128.235.231
195.128.235.233
195.128.235.235
195.81.34.67
202.95.84.33
203.150.231.49
203.150.231.73
210.81.52.120
212.61.54.239
41.222.35.70
62.216.152.67
64.76.82.52
80.77.4.3
81.31.34.175
81.31.36.174
81.31.38.163
81.31.38.166
84.233.205.99
85.112.1.83
87.255.38.2
89.18.177.3
Nombres detectados por los productos de Kaspersky:
- Backdoor.Win32.Laserv
- Backdoor.Win32.Laserv.b
- Exploit.Java.CVE-2012-1723.ad
- HEUR:Exploit.Java.CVE-2012-1723.gen
- HEUR:Exploit.Java.Generic
- HEUR:Trojan.Java.Generic
- HEUR:Trojan.Win32.DoubleFantasy.gen
- HEUR:Trojan.Win32.EquationDrug.gen
- HEUR:Trojan.Win32.Generic
- HEUR:Trojan.Win32.GrayFish.gen
- HEUR:Trojan.Win32.TripleFantasy.gen
- Rootkit.Boot.Grayfish.a
- Trojan-Downloader.Win32.Agent.bjqt
- Trojan.Boot.Grayfish.a
- Trojan.Win32.Agent.ajkoe
- Trojan.Win32.Agent.iedc
- Trojan.Win32.Agent2.jmk
- Trojan.Win32.Diple.fzbb
- Trojan.Win32.DoubleFantasy.a
- Trojan.Win32.DoubleFantasy.gen
- Trojan.Win32.EquationDrug.b
- Trojan.Win32.EquationDrug.c
- Trojan.Win32.EquationDrug.d
- Trojan.Win32.EquationDrug.e
- Trojan.Win32.EquationDrug.f
- Trojan.Win32.EquationDrug.g
- Trojan.Win32.EquationDrug.h
- Trojan.Win32.EquationDrug.i
- Trojan.Win32.EquationDrug.j
- Trojan.Win32.EquationDrug.k
- Trojan.Win32.EquationLaser.a
- Trojan.Win32.EquationLaser.c
- Trojan.Win32.EquationLaser.d
- Trojan.Win32.Genome.agegx
- Trojan.Win32.Genome.akyzh
- Trojan.Win32.Genome.ammqt
- Trojan.Win32.Genome.dyvi
- Trojan.Win32.Genome.ihcl
- Trojan.Win32.Patched.kc
- Trojan.Win64.EquationDrug.a
- Trojan.Win64.EquationDrug.b
- Trojan.Win64.Rozena.rpcs
- Worm.Win32.AutoRun.wzs
Reglas Yara:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
rule apt_equation_exploitlib_mutexes { meta: copyright = "Kaspersky Lab" description = "Rule to detect Equation group's Exploitation library" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" strings: $mz="MZ" $a1="prkMtx" wide $a2="cnFormSyncExFBC" wide $a3="cnFormVoidFBC" wide $a4="cnFormSyncExFBC" $a5="cnFormVoidFBC" condition: (($mz at 0) and any of ($a*)) } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
rule apt_equation_doublefantasy_genericresource { meta: copyright = "Kaspersky Lab" description = "Rule to detect DoubleFantasy encoded config" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" strings: $mz="MZ" $a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00} $a2="yyyyyyyyyyyyyyyy" $a3="002" condition: (($mz at 0) and all of ($a*)) and filesize < 500000 } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
rule apt_equation_equationlaser_runtimeclasses { meta: copyright = "Kaspersky Lab" description = "Rule to detect the EquationLaser malware" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" strings: $a1="?a73957838_2@@YAXXZ" $a2="?a84884@@YAXXZ" $a3="?b823838_9839@@YAXXZ" $a4="?e747383_94@@YAXXZ" $a5="?e83834@@YAXXZ" $a6="?e929348_827@@YAXXZ" condition: any of them } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
rule apt_equation_cryptotable { meta: copyright = "Kaspersky Lab" description = "Rule to detect the crypto library used in Equation group malware" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" strings: $a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1} condition: $a } |
1 seudónimo para proteger la identidad original de la víctima >>
2 el nombre “Grupo Equation” se debe a su preferencia por sofisticados esquemas de cifrado >>
Equation: La Estrella de la muerte de la galaxia Malware