وقتی کسپرسکی به جنگ بدافزار قدرتمند Equation می رود!

پژوهشگران لابراتورکسپرسکی مجموعه ای از ابزارها را که توسط گروه سایبری مخربی استفاده می شوند ، شناسایی و معرفی کرده اند. ابزارهایی که کشور هایی نظیر ایران و روسیه را مورد هدف قرار داده است. گروه Equation ازنرم افزارهای مخرب سیستم عامل های متعدد استفاده می کند، که برخی از آن ها از قبیل “Regin” شناخته شده هستند. گروه Equation بی شک یکی از خبره ترین و ماهرترین گروه سایبری در دنیا هستند و به صورت پیچیده و کاملا مرموز عمل می کند. ابزاری که توسط این گروه توسعه یافته است در مواردی منحصر به فرد است و همچنین در استخراج و سرقت اطلاعات، آن ها به شدت حرفه ای هستند.

 این بدافزار توانایی برنامه ریزی کردن firmware دیسک سخت را دارا بوده و قابلیت ساختن بخشی مخفی در دیسک سخت که فقط توسط API قابل دسترسی است را دارد. بعد از اینکه بدافزار نصب شد پاک کردن آن غیر ممکن است حتی فرمت کردن هارد دیسک به صورت معمول هم هیچ تاثیری ندارد. این بد افزار، هارد دیسک هایی از قبیل Seagate Technology, Western Digital, Hitachi, Samsung ،Toshiba را مورد حمله قرار می دهد و می تواند درایورها را تغییر دهد و توسط 2 پلتفرم مختلف به نام های Equationdrug و GrayFish شناخته می شوند.

 نکته مبهم و بسیار مهم اینجاست که آیا شرکت سازنده هارد دیسک ها با NSA همکاری می کنند !!!

شرکت Seagate و Micron اذعان داشتند که ناآگاهانه منبع کدهای مربوط به firmware را در اختیار NSA قرار داده اند و این مسئله نیازمند این است کهNSA در صورت تخلف، آن را تغییر دهد. در واقع بدست آوردن منبع کد های firmware مربوط به هارد دیسک ها برای NSA با به استخدام در آوردن یک توسعه دهنده نرم افزار و یا با دزدیدن آن از روشی دیگر بسیار راحت است.

گروه Equation با تکیه بر تکنیک های چندگانه، قربانیان خود را آلوده می کند. این تکنیک ها شامل موارد زیر می باشد :

کد خود همانند ساز- کرم (Self-replicating(Code) code)

رسانه های فیزیکی ، CD-ROMs

سوء استفاده از درگاه USB – USB sticks + exploits

حملات اینترنتی – Web-based exploit

 لابراتور کسپرسکی موفق شده است 2 هارد دیسکی که firmware آن ها دوباره توسط EQUATIONDRUG و GRAYFISH برنامه ریزی شده بود را بازیابی کند و به اطلاعاتی در این خصوص دست پیدا کرده است.