17 febrero 2015

Equation: El APT más sofisticado hasta el momento




Seguro que si has estado atento a twitter y RSS, habrás leído sobre el último bombazo relativo a APTs. Según el análisis realizado por Kaspersky Lab, se trata de un malware de una sofisticación nunca vista, que lleva operando desde - atención- 2001!!

Aprovechando con la celebración del Security Analyst Summit 2015 en Cancún, desde donde me encuentro para dar una charla en la mañana de hoy, el fabricante de seguridad Kaspersky ha querido liberar los detalles de este APT, que ha puesto los pelos de punta a la audiencia. 

Básicamente, y en palabras de Costin Raiu, este malware “le patea el culo a Regin” en cuanto a nivel de sofisticación. 

El punto de entrada era, en aquellas épocas, un CD-ROM con un fichero .LNK que explotaba una vulnerabilidad relacionada con el icono del .LNK, por la que se infectaba el sistema. Posteriormente, hubo más vectores de entrada como un pendrive USB, o contenido web que se insertaba en determinado tipo de foros (creo recordar que dijo PHPBB).

Entre las diferentes 6 piezas de malware que componen Equation, relacionadas con troyanos que permiten control total y remoto sobre la máquina infectada, posibilitando la instalación de nuevos módulos según el atacante necesite. Otra de las piezas de este conjuntos de malware, era la instalación de un boot kit, llamado Gray Fish, que parcheaba todo aquello que necesitaba y borraba sus propias huellas. 

Una de las características que más miedo da, es el grado de persistencia alcanzado por Equation, y es que es capaz de infectar el firmware de discos duros de diferentes fabricantes, para que no sea visible ni modificable los sectores donde Equation se alberga. 

En palabras de Kaspersky, ni siquiera formateando el disco duro es posible dejarlo completamente limpio, puesto que es el propio firmware quien protege que esa parte de disco contra escritura posterior.  

Realmente interesante es el ver que un malware como Equation, descubierto en sistemas mucho más antiguos que otras piezas de malware clasificadas como APT, comparta similitudes con Flame o Stuxnet, como la replicación por redes no conectadas a Internet, o la explotación de la vulnerabilidad que permitía ejecución de código por el .LNK, mencionada anteriormente, y que Microsoft parcheó posteriormente. 

Una de dos: o el malware, una obra maestra de la ingeniería del software, ha sido realizado por el mismo equipo de expertos, o diferentes personas han descubierto y aprovechado el mismo Zero-Day. Lo que está claro es que no es fruto de un grupo de amigos en su casa, sino un proyecto muy bien financiado y organizado.

Según las fuentes, se piensa que el malware podría haber existido desde 1996, por lo que implicaría que desde los principios del boom de la utilización masiva de los ordenadores, ya había intereses en lograr el control de lo que en ese momento, sería el futuro. 

A tenor de estas noticias, sólo nos resta preguntarnos ¿En manos de quién estamos? ¿Podemos realmente hacer algo para mantener a salvo nuestra información más secreta? ¿Están preparados los dispositivos que funcionen con bits para proteger el contenido de lo que pasa a través de ellos?


Si queréis leer más detalles sobre esta joya de la ingeniería, os recomiendo esta review, mucho más extensa en ArsTechnica

Actualización: Podéis ver aquí la información original publicada por Kaspersky  (Gracias @txalin)

9 comments :

@AlejandroSL dijo...

wow ... me quedo sin palabras ... ¿cuando regresamos al papel y lápiz? =(

txalin dijo...

El paper de Kaspersky: http://www.kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-of-Cyber-Espionage

Alberto Hornero Luque dijo...

Lorenzo, al hilo de esto, ¿cuándo os vais a pronunciar sobre BadBIOS? ¿Real o falacia?


Y gracias por transmitir siempre tan cercanos al público que os lee :-)

Ivan Torres dijo...

Hola que tal amigos!!, me gustaría saber si este tipo de eventos los pudieran grabar, a mi me gusta mucho todo lo orientado a seguridad informática no he tenido mucha suerte de aprender cosas, y estos eventos me gustaría asistir pero aquí en México no encuentro algo similar, si pudieran hacer streming sería genial.


Aun así agradesco todos sus aportes.

invitado dijo...

Me uno a la petición, ya que no quedan entradas

car dijo...

Me parece tan surrealista que hasta puede tener su parte de verdad. Lo que no entiendo es como ha sobrevivido tanto tiempo entre tanto explorador de vulnerabilidades.

AdolfoCastillo dijo...

wow debe ser hermoso, a la vieja usanza desde las rams hasta los discos duros, y es que es lo mas lógico atacar la zona menos protegida al paso del tiempo por asi decirlo, ya que una vez atacado los fabricantes no saben nada de ello para hacer cambios.

Anonimo dijo...

No me extraña la fecha de creación, en Blackhat 2007 ya se hablaba de pci rootkit y en phrack 2009 se bios rootkit ;)

nicolas uruguay dijo...

me sumo