Equation Group: Die vielleicht besten Hacker der Welt

(Bild: Shutterstock)

Die Equation Group ist wohl eine der gerissensten Hackergruppierungen der Welt – wenn nicht die gerissenste. Die bislang unbekannten Cyberkriminellen agieren mindesten schon seit 2001, wenn nicht 1996, im Verborgenen und bedienen sich verschiedenster Methoden und höchstentwickelter Tools, um in Computersysteme einzudringen, dass sogar der Sicherheitsexperte Kaspersky Lab aus dem Stauen gar nicht mehr herauskommt.

Wie das Unternehmen auf der Sicherheitskonferenz Security Analyst Summit in Cancún berichtet, habe es mehr als 60 auf der ganzen Welt agierende Cyberkriminelle unter die Lupe genommen – und die Equation Group gehe über alles hinaus, was Kaspersky Lab bisher zu Gesicht bekommen hat.

Die Hackergruppe ist geht laut Kaspersky in mehrerlei Hinsicht einzigartig vor: Sie verwendet Tools, die extrem kompliziert und teuer zu entwickeln sind und agiert mit einer absoluten Professionalität hinsichtlich der Art und Weise, wie sie ihre Ziele infiziert. Des Weiteren klaut sie Daten, verschleiert dabei ihre Identität und setzt auch “klassische” Spionagetechniken ein, um schädliche Payloads auszuliefern.

Laut dem GReAT-Team (Kaspersky Lab Global Research and Analysis Team) dürften die Hacker die “Urväter” der berühmt-berüchtigten Schadprogramme Stuxnet und Flame sein. Die verschiedenartigen Programme, die von der Equation Group eingesetzt werden, sind zum Teil auch noch erheblich komplexer und ausgefeilter als etwa die Spyware Regin, die im Dezember auch auf Rechnern des Kanzleramts gefunden wurde.

Um ihre Ziele zu infizieren, verwendet die Gruppe eine Reihe Trojaner und andere Malware. Zum Umfang des Equation-Group-Toolkits zählen mindestens zwei Stuxnet-Varianten sowie diverse Zero-Day-Exploits, die sich sowohl gegen Windows- und Mac-OS-Rechner als auch gegen Browser richten. GReAT-Direktor Costin Raiu sagte auf dem Security Analyst Summit, dass die Gruppe wahrscheinlich auch über iPhone-Exploits verfüge, “aber wir haben dafür noch keine Bestätigung (…) Diese Leute machen keine Fehler. Und falls doch, dann sehr sehr selten.”

Zu den von der Gruppe eingesetzten Hacker-Tools zählen namentlich EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish. Zwei davon stechen aus der Masse der im umlaufbefindlichen Tools heraus: Fanny, benannt nach der auf kompromittierten Systemen zu findenden Bitmap-Datei “fanny.bmp”, ist ein 2008 entwickelter Computerwurm, der sich gegen Ziele im Nahen Osten und in Asien richtet. Er befällt USB-Festplatten und findet sich Raiu zufolge noch heute auf Tausenden USB-Medien. Mit ihm verschaffen sich Angreifer Zugang zu eigentlich abgeschotteten Air-Gap-Netzwerken, indem die Malware einen einzigartigen USB-basierten Kommando- und Kontrollmechanismus verwendet, um einen versteckten Speicherbereich auf einem USB-Medium anzulegen, in dem gestohlene Daten abgelegt und Befehle ausgeführt werden können.

(Grafik: Kaspersky Lab)

Infiziert Fanny einen nicht mit dem Internet verbundenen Rechner, sammelt er Systeminformationen und speichert sie in dem versteckten Bereich. Sollte sich der Computer später mit dem Internet verbinden, wird der Wurm aktiv und schickt die Daten an einen Command and Control Center. Will ein Angreifer Befehle in einem abgeschotteten Netzwerk ausführen, kann er diese in dem versteckten Speicherbereich hinterlegen und anschließend aktivieren. Auf diese Weise soll die Equation Group mehr als 300 Domains und über 100 Server in Ländern wie den USA, Großbritannien, Panama und Kolumbien kompromittiert haben.

Das zweite besonders ausgefeilte Werkzeug ist ein Plug-in mit dem Dateinamen “nls_933w.dll”, das Kaspersky als das “ultimative Cyberangriffs-Tool” bezeichnet. Es kann auf niedriger Ebene mit einer Festplatte oder SSD interagieren und sogar deren Firmware umschreiben. Dadurch ist die Malware nicht nur extrem schwer zu entdecken und zu entfernen, sondern übersteht sogar eine Neuformatierung des Laufwerks oder eine Neuinstallation des Systems. Zugleich kann sie ebenfalls einen versteckten Speicherbereich anlegen, der nahezu unmöglich zu entdecken ist. Kaspersky hat bisher zwölf Hersteller ausgemacht, deren Laufwerke anfällig sind, darunter Seagate, Western Digital und Samsung. Beim Verdacht einer Infektion empfehlen die Sicherheitsexperten die sofortige Vernichtung des Laufwerks.

Lies auch: WARUM ANTIVIRUS SOFTWARE BEI ANDROID ÜBERBEWERTET WIRD [KOMMENTAR]

Als “Vorfahren” anderer Entwickler von Cyberbedrohungen wie Stuxnet und Flame bezeichnet Kasperksy die Equation Group, weil sie schon Zugang zu Zero-Day-Exploits hatte, noch bevor diese von Stuxnet und Flame ausgenutzt wurden. Offenbar hat die Gruppe diese Exploits zu irgendeinem Zeitpunkt anderen Cyberangreifern zur Verfügung gestellt. Beispielsweise nutzte Fanny schon 2008 zwei Zero-Day-Exploits, die Stuxnet erst im Juni 2009 und März 2010 verwendete. “Tatsächlich deutet die ähnliche Nutzung der beiden Exploits in verschiedenen Computerwürmern zu etwa derselben Zeit darauf hin, dass die Equation Group und die Stuxnet-Entwickler entweder identisch sind oder eng zusammengearbeitet haben”, so Raiu.

Seit 2001 habe die Equation Group Tausende oder sogar Zehntausende Systeme mit ihrem Arsenal an Bootkits und Malware infiziert, so Kaspersky. Zu ihren Zielen gehörten Einrichtungen aus den Bereichen Militär, Telekommunikation, Energie, Nanotechnologie und Medien. Raiu geht von rund 2000 Opfern im Monat aus. Auf den ersten Blick erscheine diese Zahl zwar niedrig, aber wenn man sich die Art der Ziele vor Augen führe, sei sie “ziemlich beängstigend”.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Kaspersky LabVia:Björn Greif, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising