Grupo de ecuaciones

Grupo de ecuaciones Marco

Tipo	Grupo de piratas informáticos , amenaza persistente avanzada

Organización

Afiliación	Operaciones de acceso personalizadas

El Grupo de la ecuación es el nombre dado a un alto nivel de espionaje cibernético grupo de TI vinculado a la Agencia Nacional de Seguridad (NSA). Esto se debe principalmente a la proximidad a los gusanos informáticos Flame y Stuxnet , o incluso al malware Regin .

Debido a la predilección del grupo por los métodos de cifrado sofisticados en sus operaciones, Kaspersky Lab eligió el nombre Equation Group , que ha documentado casi 500 infecciones de malware por las herramientas del grupo en al menos 42 países. Sería "la operación de piratería más grande de todos los tiempos" , que se remonta a principios de la década de 2000 y posiblemente incluso a 1996.

En agosto de 2016, el grupo de hackers The Shadow Brokers dio a conocer una serie de herramientas de espionaje y armas cibernéticas propiedad de Equation Group .

Vectores de infeccion

Kaspersky Lab identificó que Equation Group explotó al menos siete vulnerabilidades de seguridad relacionadas con Microsoft Windows , Internet Explorer y Java , cuatro de las cuales eran las denominadas vulnerabilidades de "día cero" (que no están corregidas ni conocidas por el editor en el momento de. su uso). El editor ruso también describe la explotación de otras vulnerabilidades desconocidas a principios de 2015, probablemente también de día cero, en Mozilla Firefox 17 y Tor Browser Bundle.

Fanny, el malware desarrollado por Equation Group se aloja en el firmware de los discos duros y por tanto se resiste a reformatear el disco o instalar un nuevo sistema operativo .

Para infectar a sus víctimas, Equation Group utiliza un arsenal de "implantes" ( malware ):

EquationLaser (2001-2004) es un implante de primera generación;
EquationDrug (2003-2013) es una plataforma de ataque muy compleja que admite un sistema modular de complementos ;
DoubleFantasy (2004-2011) es un caballo de Troya diseñado para confirmar que el objetivo alcanzado es el correcto. Si este es el caso, entonces el troyano es reemplazado por una plataforma más completa como EquationDrug o GrayFish;
TripleFantasy (2012-2014) es una puerta trasera que parece ser una versión más evolucionada de DoubleFantasy;
Fanny (2008-2010) es un gusano informático que se utiliza para robar información. Utiliza dos de las denominadas vulnerabilidades de "día cero" que más tarde se descubrieron con Stuxnet ;
GrayFish (2008-2014) es la plataforma de ataque más sofisticada de Equation Group , que reside completamente en el registro de Windows.

Más allá de los vectores clásicos, el informe de Kaspersky también relata un caso específico de infección de un investigador a través de un CD-ROM recibido tras una conferencia científica que tuvo lugar en Houston en 2009.

Perfiles de destino

País

En febrero de 2015, Kasperky Lab dijo que había identificado víctimas en 42 países, en Asia, África, Europa (Alemania, Bélgica, Francia, Gran Bretaña y Suiza) y Sudamérica. Los principales países objetivo serían Irán, la Federación de Rusia, Pakistán, Afganistán, India, China, Siria y Malí.

Sectores

Basándose en la lista de 500 víctimas identificadas, Kaspersky Lab indica que las organizaciones objetivo generalmente pertenecen a las siguientes categorías: “organizaciones gubernamentales e instituciones diplomáticas, empresas públicas o privadas en los sectores de telecomunicaciones, aeroespacial y energético, investigación nuclear, petróleo y gas, organizaciones del sector militar, empresas especializadas en nanotecnología, activistas y actividades islámicas, empresas del sector de los medios de comunicación, transporte, instituciones financieras o incluso empresas de investigación y desarrollo en criptografía ” .

Atribución

Kaspersky Lab nunca cita a la Agencia de Seguridad Nacional (NSA) en su informe publicado en febrero, pero indica que Equation Group ha trabajado en estrecha colaboración con los equipos detrás de Flame y Stuxnet . Según el experto en seguridad Claudio Guarnieri y varios ex agentes de inteligencia estadounidenses anónimos, Equation Group está vinculado a la NSA.

Notas y referencias

(fr) Este artículo está tomado parcial o totalmente del artículo de Wikipedia en inglés titulado " Equation Group " ( ver la lista de autores ) .

Damien Leloup y Martin Untersinger , " El grupo de ecuaciones, la buena vieja caja de herramientas NSA ", Le Monde ,17 de febrero de 2015( leer en línea )
" ciberespionaje - Ecuación: la mayor operación de piratería informática de todos los tiempos ", El punto ,17 de febrero de 2015( leer en línea )
Marc Zaffagni, " Grupo de ecuaciones, maestros del ciberespionaje ", Ciencias de Futura ,18 de febrero de 2015( leer en línea )
(en) " Grupo ecuación: preguntas y respuestas " [PDF] ,febrero 2015 - Informe de Kaspersky Lab, versión 1.5
Gilbert Kallenborn , " La NSA puede reprogramar cualquier disco duro " , 01Net ,17 de febrero de 2015( leer en línea )
(en) " Grupo ecuación: el creador Corona de ciberespionaje " , Kaspersky Lab ,16 de febrero de 2015( leer en línea )
Louis Adam , " 'Fanny', Discos duros espía: Kaspersky desentierra viejos juguetes de la NSA ... ", ZDNet ,17 de febrero de 2015( leído en línea , consultado el 19 de febrero de 2015 )
(en) Dan Goodin , " Cómo los piratas informáticos" omnipotentes "vinculados a la NSA se escondieron durante 14 años, y finalmente fueron encontrados," Equation Group "ejecutó la operación de piratería más avanzada jamás descubierta. " , ArsTechnica ,16 de febrero de 2015( leído en línea , consultado el 19 de febrero de 2015 )
(en) Joseph Menn , " Investigadores de gran avance ruso expusieron el programa de espionaje de EE. UU. " , Reuters ,16 de febrero de 2015( leer en línea )

Apéndices

enlaces externos

(en) " Grupo de ecuaciones: preguntas y respuestas " [PDF] ,febrero 2015 - Informe de Kaspersky Lab