Détection du groupe APT Equation actif depuis 2001

Des experts de Kaspersky Lab ont annoncé qu’ils avaient découvert un groupe baptisé Equation dont les traces d’activité remontent jusqu’à 2001. Ce groupe utilise plusieurs plateformes malveillantes, plus complexes que la célèbre plateforme Regin. Il doit son nom à sa passion pour l’obfuscation et le chiffrement : il utilise les algorithmes RC4, RC5, RC6 et AES ainsi que quelques autres fonctions cryptographiques et de somme de contrôle.

Les chercheurs ont réussi à identifier la grande famille de plateformes malveillantes utilisées par le groupe Equation dans diverses périodes de son activité. Une des particularités du groupe réside dans l’utilisation de validateurs de plateforme spéciaux qui sont des malwares dont la fonction se résume à identifier les victimes avec précision. Les étapes suivantes de l’attaque sont déclenchées uniquement si le validateur confirme que l’ordinateur infecté est bien celui de la victime ciblée.

La plateforme d’espionnage principale baptisée EquationDrug par Kaspersky Lab a été développée dans le but d’obtenir un contrôle complet sur le système de la victime. Cette fonction peut être enrichie à l’aide de différents plug-ins : les chercheurs ont compté un total de 35 plug-ins pour EquationDrug ainsi que 18 pilotes.

La famille de malwares d’Equation contient également le ver Fanny qui se propage de manière inhabituelle via des clés USB et dont le rôle, selon toute vraisemblance, et de récolter des informations sur les réseaux qui ne sont pas connectés à Internet et qui se trouvent au Moyen-Orient et en Asie.

Quand une clé USB infectée est branchée sur un ordinateur, le ver infecte le poste à l’aide de divers codes d’exploitation, récolte des informations sur le système et les enregistre dans un secteur caché de la clé. Dès que cette clé est branchée sur un ordinateur qui a accès à Internet, le ver envoie toutes les informations obtenues au serveur de commande. La clé USB intervient également dans le mécanisme inverse dans le cadre duquel l’ordinateur infecté reçoit les instructions du centre de commande via la clé en question.

Les experts ont mis en évidence une particularité important de Fanny : pour pouvoir infecter le système, le ver utilise les mêmes vulnérabilités que celles exploitées par les premières versions de Stuxnet. Il les a d’ailleurs exploitées avant leur apparition dans Stuxnet. L’utilisation similaire de codes d’exploitation dans des malwares différents plus ou moins en même temps pourrait laisser penser que le groupe Equation et les développeurs de Stuxnet sont une seule et même organisation ou du moins, qu’ils entretiennent une coopération étroite.

Parmi les autres capacités pour le moins inhabituelles d’Equation, il faut citer la fonction de reprogrammation du micrologiciel du disque en vue d’accéder aux secteurs cachés. Grâce à cela, les malwares du groupe peuvent demeurer sur l’ordinateur, même après le reformatage du disque ou la réinstallation du système d’exploitation.

Les chercheurs n’ont pas encore réussi à identifier qui se cache derrière le groupe Equation. Ils ne disposent que d’indications indirectes sous la forme de mots clés détectés lors de l’analyse des modules : SKYHOOKCHOW, prkMtx, SF, UR, URInstall, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER, GROK, RMGREE5.

Le groupe travaille avec une extrême précision et n’infecte que des cibles soigneusement sélectionnées. Kaspersky Lab a réussi à s’emparer d’un des serveurs de commande d’Equation. Sur la base des informations ainsi obtenues et des informations de KSN, plus de 500 victimes réparties dans plus de 30 pays ont été identifiées. Des serveurs, des contrôleurs de domaine, des référentiels de données, des hébergeurs de site et d’autres types de serveur infectés ont été détectés. L’infection Equation possède un mécanisme d’auto-destruction, ce qui signifie que le nombre de victimes pourrait s’élever à plusieurs dizaines de milliers. Les experts ont également découvert que certains des ordinateurs sur lesquels les premiers échantillons de Stuxnet avaient été détectés ont également été infectés par Equation. On peut dès lors supposer que le malware du groupe Equation a été utilisé pour implanter Stuxnet.

La majorité des victimes d’Equation découvertes appartient aux secteurs suivants : organisations gouvernementales et diplomatiques, télécommunication, aérospatial, énergie, gaz et pétrole, transport, finances, complexe militaro-industriel, nanotechnologies, activistes et savants islamiques, mass média, sociétés spécialisées en physique nucléaire, développeurs de technologies de chiffrement.

Lien :        Securelist.com

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *