Kaspersky发现历来最高明的黑客组织 疑似与NSA有关
安全公司Kaspersky在该公司的安全分析师高峰会上发表了一份文件,揭示了历来最高明的黑客团体The Equation Group,且暗示和美国国安局NSA间谍活动之间可能有关联。
Kaspersky Lab的全球研究分析小组GReAT多年来监控发动全球网络攻击背后的60多个存在威胁的组织,经过密集而广泛的资料分析,可以说正式发现技巧的复杂及高明程度超越其他人的黑客组织,是活动近20年的The Equation Group。
Kaspersky称该组织为网络间谍活动的盟主(Crown Creator)。
研究公司发现,为了感染受害者系统,The Equation Group发展了极强大的木马军火库,至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等。
受害者遍及伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯、香港、英美等30余国,包括500个以上的金融、核能、电信等企业及军方与政府单位,感染系统涵盖服务器、网络控制器,资料存储、网站等。
基于程序的自我毁灭机制,安全公司推断受害者其实只是冰山一角,实际数目可能高达上万。
不过安全研究人员指出,The Equation最厉害的是,它可以感染硬盘,他们发现两种恶意程序Equationdrug及Grayfish发展而来的重编程模组,可将10多种市面上销售的硬盘重新编程,即复写硬盘操作系统,包括希捷、WD、三星等。
背后目的可能有两种,一种植入恶意程序,能避免因硬盘重新格式化及重装操作系统而被移出;而是暗中窃取资讯并传送给黑客。
研究人员指出可能是Equationdrug及Grayfish最强大的工具,也是已知首个感染硬盘的手法。
Karspersky并未说明The Equation Group强大能力的背后主谋是谁,但想指出其种种手法,暗示可能与美国NSA的间谍活动有关。
例如2009年该组织在休斯顿拦截邮寄途中的CD,并植入用于黑客行为的恶意程序,再寄给收信单位。
这手法和NSA半路拦截且感染思科网络设备的手法很像。
第二例是Karspersky分析The Equation Group程序函数库中不小心泄露的关键词,发现到外挂键盘记录程序Grok,这出现在去年媒体报道NSA用于感染全球数百万台电脑的攻击工具中。
另外,STRAITACID也与NSA的Tailored Access Operations使用的STRAITBIZARRE很像,它可作为用后即丢的攻击工具。
Kaskpersky研究人员并发现,The Equation Group和其他蠕虫攻击如Stuxnet和Flame之间关联性、
例如Stuxnet攻击中的一些零号受害者(Patient Zero)感染了Equation Group的恶意程序,可能是其恶意程序被用于StuxnetStuxnetEquation Group的程序中。
此外加密程序的行为也类似Stuxnet。
欧美媒体曾报道,Stuxnet和Flame分别是NSA和以色列及NSA、CIA在背后操刀发动的黑客行动。
近年来Stuxnet已被多次发现锁定伊朗,Stuxnet蠕虫攻击伊朗的时间点最早可追溯到2005年。
(编译自:ITHOME.TW )