Equation: La Estrella de la muerte de la galaxia Malware

Descargar el PDF “Equation group: questions and answers” (eng)

“Houston, tenemos un problema”

En un día soleado del año 2009, Grzegorz Brzęczyszczykiewicz1 tomó un vuelo a la pujante ciudad de Houston para asistir a una prestigiosa conferencia científica. Como uno de los principales científicos en su campo, Grzegorz estaba acostumbrado a estos viajes. En los siguientes días, Brzęczyszczykiewicz intercambió tarjetas personales con otros científicos y habló sobre los temas importantes que los científicos de alto nivel suelen tratar (un eufemismo equivalente a “¿quién sabe?”).  Pero, todo lo bueno termina, y al concluir la conferencia, Grzegorz Brzęczyszczykiewicz tomó el vuelo que lo llevaría de regreso a casa, llevando consigo muchas impresiones de un memorable evento. Un tiempo después, como suele suceder en este tipo de acontecimientos, los organizadores enviaron a todos los participantes un CDROM con muchas fotos de la conferencia. Cuando Grzegorz insertó el CDROM en su ordenador y se abrió la presentación de dispositivas, ni sospechó que se estaba convirtiendo en la víctima de una organización de ciberespionaje casi omnipotente que acababa de infectar su ordenador utilizando tres exploits, dos de ellos del tipo día-cero.

Una cita con el “dios” del ciberespionaje

No se sabe cuándo el grupo Equation2 comenzó su ascenso. Algunas de las primeras muestras de este programa malicioso se compilaron en el 2002. Sin embargo, su servidor de comando y control (C&C) se registró en agosto de 2011. Otros C&Cs que utilizó el grupo Equation parecen haberse registrado incluso en 1996, lo que indicaría que este grupo ha estado activo por al menos dos décadas. Por muchos años han interactuado con otros grupos poderosos, como Stuxnet y Flame, siempre desde una posición de superioridad, ya que tenían acceso a exploits antes que los demás.

Desde el 2001, el grupo Equation se ha dedicado a infectar miles o quizás hasta decenas de miles de víctimas en todo el mundo, en los siguientes sectores:

  • Instituciones gubernamentales y diplomáticas
  • Telecomunicaciones
  • Aeroespacial
  • Energía
  • Investigación nuclear
  • Petróleo y gas
  • Fuerzas armadas
  • Nanotecnología
  • Activistas y académicos musulmanes
  • Medios de comunicación
  • Transporte
  • Instituciones financieras
  • Compañías de desarrollo de tecnologías de cifrado

Para infectar a sus víctimas, el grupo Equation cuenta con un arsenal poderoso de “implantes” (así llaman a sus troyanos), incluyendo los siguientes a los que hemos bautizado: EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY y GRAYFISH. Sin duda existen otros “implantes” aún por ser identificados.

El grupo tiene muchos nombres clave para sus herramientas e implantes, incluyendo SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER y GROK. Por más increíble que parezca para un grupo élite como este, uno de sus desarrolladores cometió el error imperdonable de dejarnos su nombre de usuario: "RMGREE5", en una de las muestras del programa malicioso, como parte de su carpeta de trabajo: "c:usersrmgree5".

Quizás la herramienta más poderosa en el arsenal del grupo Equation sea un misterioso módulo conocido sólo por su nombre críptico: "nls_933w.dll". Este módulo les permite reprogramar el firmware del disco duro para una docena de marcas de discos duros, incluyendo Seagate, Western Digital, Toshiba, Maxtor e IBM. Este es un asombroso logro técnico y es una muestra de las habilidades del grupo.

En los últimos años, el grupo Equation ha lanzado varios ataques.  Uno de ellos sobresale: el gusano Fanny. Presuntamente compilado en julio de 2008, fue el primero que nuestros sistemas detectaron y bloquearon en diciembre de 2008. Fanny usaba dos exploits tipo día-cero, que posteriormente se revelaron durante el descubrimiento de Stuxnet. Para propagarse utilizaba el exploit LNK de Stuxnet y unidades USB. Para elevar sus privilegios, Fanny usaba una vulnerabilidad reparada con el boletín MS09-025 de Microsoft, que también se usó en una de las primeras versiones de Stuxnet de 2009.

Exploit LNK utilizado por Fanny

Es importante señalar que estos dos exploits se usaron en Fanny antes de que se integraran a Stuxnet, lo que indica que el grupo Equation tuvo acceso a estos día-cero antes que el grupo Stuxnet. El propósito principal de Fanny era el mapeo de redes físicamente segmentadas (o air-gapped). Para ello, utilizaba un mecanismo de comando y control único, basado en USB, que les permitía a los atacantes enviar y recibir datos desde las redes físicamente separadas por los air-gaps.

En los próximos días publicaremos más detalles sobre el grupo Equation y sus ciberataques. El primer documento que publicaremos serán las preguntas frecuentes sobre el grupo con los indicadores de infección.

Nuestra intención al publicar esta información es llamar la atención de la comunidad de seguridad informática y de los investigadores independientes para que puedan ampliar la comprensión de estos ataques. Cuanto más investiguemos estas operaciones de ciberespionaje, más nos daremos cuenta de lo poco que sabemos ahora. Compartiendo lo que sabemos podremos levantar el velo y trabajar por un (ciber-)mundo más seguro.

Descargar el PDF “Equation group: questions and answers”

Indicadores de infección (“uno por cada”):

Nombre EquationLaser
MD5 752af597e6d9fd70396accc0b9013dbe
Tipo Instalador de EquationLaser
Compilado Lun 18 Oct 15:24:05 2004
Nombre Disco de Houston “autorun.exe” con exploits EoP
MD5 6fe6c03b938580ebf9b82f3b9cd4c4aa
Tipo Paquete EoP y lanzador de malware
Compilado Mié 23 Dic 15:37:33 2009
Nombre DoubleFantasy
MD5 2a12630ff976ba0994143ca93fecd17f
Tipo Instalador de DoubleFantasy
Compilado Vie 30 Abr 01:03:53 2010
Nombre EquationDrug
MD5 4556ce5eb007af1de5bd3b457f0b216d
Tipo Instalador de EquationDrug ("LUTEUSOBSTOS")
Compilado Mar 11 Dic 20:47:12 2007
Nombre GrayFish
MD5 9b1ca66aab784dc5f1dfe635d8f8a904
Tipo Instalador de GrayFish
Compilado Vie 01 Feb 22:15:21 2008 (instalador)
Nombre Fanny
MD5 0a209ac0de4ac033f31d6ba9191a8f7a
Tipo Gusano Fanny
Compilado Lun 28 Jul 11:11:35 2008
Nombre TripleFantasy
MD5 9180d5affe1e5df0717d7385e7f54386 cargador (17920 bytes .DLL)
Tipo ba39212c5b58b97bfc9f5bc431170827 carga cifrada (.DAT)
Compilado varios, posible falsificación
Nombre _SD_IP_CF.dll – desconocido
MD5 03718676311de33dd0b8f4f18cffd488
Tipo Instalador de DoubleFantasy + paquete del exploit LNK
Compilado Vie 13 Feb 10:50:23 2009
Nombre nls_933w.dll
MD5 11fb08b9126cdb4668b3f5135cf7a6c5
Tipo Módulo de reprogramación HDD
Compilado Mar 15 Jun 20:23:37 2010
Nombre standalonegrok_2.1.1.1 / GROK
MD5 24a6ec8ebf9c0867ed1c097f4a653b8d
Tipo Keylogger de GROK
Compilado Mar 09 Ago 03:26:22 2011

Servidores C&C (nombres de hosts e IPs):

DoubleFantasy:

advancing-technology[.]com
avidnewssource[.]com
businessdealsblog[.]com
businessedgeadvance[.]com
charging-technology[.]com
computertechanalysis[.]com
config.getmyip[.]com – CENOTE DE KASPERSKY LAB
globalnetworkanalys[.]com
melding-technology[.]com
myhousetechnews[.]com – CENOTE DE KASPERSKY LAB
newsterminalvelocity[.]com – CENOTE DE KASPERSKY LAB
selective-business[.]com
slayinglance[.]com
successful-marketing-now[.]com – CENOTE DE KASPERSKY LAB
taking-technology[.]com
techasiamusicsvr[.]com – CENOTE DE KASPERSKY LAB
technicaldigitalreporting[.]com
timelywebsitehostesses[.]com
www.dt1blog[.]com
www.forboringbusinesses[.]com

EquationLaser:

lsassoc[.]com – re-registered, not malicious at the moment
gar-tech[.]com – CENOTE DE KASPERSKY LAB

Fanny:

webuysupplystore.mooo[.]com – CENOTE DE KASPERSKY LAB

EquationDrug:

newjunk4u[.]com
easyadvertonline[.]com
newip427.changeip[.]net – CENOTE DE KASPERSKY LAB
ad-servicestats[.]net – CENOTE DE KASPERSKY LAB
subad-server[.]com – CENOTE DE KASPERSKY LAB
ad-noise[.]net
ad-void[.]com
aynachatsrv[.]com
damavandkuh[.]com
fnlpic[.]com
monster-ads[.]net
nowruzbakher[.]com
sherkhundi[.]com
quik-serv[.]com
nickleplatedads[.]com
arabtechmessenger[.]net
amazinggreentechshop[.]com
foroushi[.]net
technicserv[.]com
goldadpremium[.]com
honarkhaneh[.]net
parskabab[.]com
technicupdate[.]com
technicads[.]com
customerscreensavers[.]com
darakht[.]com
ghalibaft[.]com
adservicestats[.]com
247adbiz[.]net – CENOTE DE KASPERSKY LAB
webbizwild[.]com
roshanavar[.]com
afkarehroshan[.]com
thesuperdeliciousnews[.]com
adsbizsimple[.]com
goodbizez[.]com
meevehdar[.]com
xlivehost[.]com
gar-tech[.]com – CENOTE DE KASPERSKY LAB
downloadmpplayer[.]com
honarkhabar[.]com
techsupportpwr[.]com
webbizwild[.]com
zhalehziba[.]com
serv-load[.]com
wangluoruanjian[.]com
islamicmarketing[.]net
noticiasftpsrv[.]com
coffeehausblog[.]com
platads[.]com
havakhosh[.]com
toofanshadid[.]com
bazandegan[.]com
sherkatkonandeh[.]com
mashinkhabar[.]com
quickupdateserv[.]com
rapidlyserv[.]com

GrayFish:

ad-noise[.]net
business-made-fun[.]com
businessdirectnessource[.]com
charmedno1[.]com
cribdare2no[.]com
dowelsobject[.]com
following-technology[.]com
forgotten-deals[.]com
functional-business[.]com
housedman[.]com
industry-deals[.]com
listennewsnetwork[.]com
phoneysoap[.]com
posed2shade[.]com
quik-serv[.]com
rehabretie[.]com
speedynewsclips[.]com
teatac4bath[.]com
unite3tubes[.]com
unwashedsound[.]com

TripleFantasy:

arm2pie[.]com
brittlefilet[.]com
cigape[.]net
crisptic01[.]net
fliteilex[.]com
itemagic[.]net
micraamber[.]net
mimicrice[.]com
rampagegramar[.]com
rubi4edit[.]com
rubiccrum[.]com
rubriccrumb[.]com
team4heat[.]net
tropiccritics[.]com

Servidores de explotación del grupo Equation:

standardsandpraiserepurpose[.]com
suddenplot[.]com
technicalconsumerreports[.]com
technology-revealed[.]com

IPs hard-coded en bloques de configuración de programas maliciosos:

149.12.71.2
190.242.96.212
190.60.202.4
195.128.235.227
195.128.235.231
195.128.235.233
195.128.235.235
195.81.34.67
202.95.84.33
203.150.231.49
203.150.231.73
210.81.52.120
212.61.54.239
41.222.35.70
62.216.152.67
64.76.82.52
80.77.4.3
81.31.34.175
81.31.36.174
81.31.38.163
81.31.38.166
84.233.205.99
85.112.1.83
87.255.38.2
89.18.177.3

Nombres detectados por los productos de Kaspersky:

  • Backdoor.Win32.Laserv
  • Backdoor.Win32.Laserv.b
  • Exploit.Java.CVE-2012-1723.ad
  • HEUR:Exploit.Java.CVE-2012-1723.gen
  • HEUR:Exploit.Java.Generic
  • HEUR:Trojan.Java.Generic
  • HEUR:Trojan.Win32.DoubleFantasy.gen
  • HEUR:Trojan.Win32.EquationDrug.gen
  • HEUR:Trojan.Win32.Generic
  • HEUR:Trojan.Win32.GrayFish.gen
  • HEUR:Trojan.Win32.TripleFantasy.gen
  • Rootkit.Boot.Grayfish.a
  • Trojan-Downloader.Win32.Agent.bjqt
  • Trojan.Boot.Grayfish.a
  • Trojan.Win32.Agent.ajkoe
  • Trojan.Win32.Agent.iedc
  • Trojan.Win32.Agent2.jmk
  • Trojan.Win32.Diple.fzbb
  • Trojan.Win32.DoubleFantasy.a
  • Trojan.Win32.DoubleFantasy.gen
  • Trojan.Win32.EquationDrug.b
  • Trojan.Win32.EquationDrug.c
  • Trojan.Win32.EquationDrug.d
  • Trojan.Win32.EquationDrug.e
  • Trojan.Win32.EquationDrug.f
  • Trojan.Win32.EquationDrug.g
  • Trojan.Win32.EquationDrug.h
  • Trojan.Win32.EquationDrug.i
  • Trojan.Win32.EquationDrug.j
  • Trojan.Win32.EquationDrug.k
  • Trojan.Win32.EquationLaser.a
  • Trojan.Win32.EquationLaser.c
  • Trojan.Win32.EquationLaser.d
  • Trojan.Win32.Genome.agegx
  • Trojan.Win32.Genome.akyzh
  • Trojan.Win32.Genome.ammqt
  • Trojan.Win32.Genome.dyvi
  • Trojan.Win32.Genome.ihcl
  • Trojan.Win32.Patched.kc
  • Trojan.Win64.EquationDrug.a
  • Trojan.Win64.EquationDrug.b
  • Trojan.Win64.Rozena.rpcs
  • Worm.Win32.AutoRun.wzs

Reglas Yara:

1 seudónimo para proteger la identidad original de la víctima >>
2 el nombre “Grupo Equation” se debe a su preferencia por sofisticados esquemas de cifrado >>

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *