Infekcja firmware’u
Asem w rękawie Equation jest złośliwy kod, który ukrywa się w… firmwarze dysku twardego. Hakerzy sięgają po niego w szczególnych sytuacjach, gdy źródło informacji jest cenne, a zabezpieczenia skuteczne. Dotąd ujawniono obecność szkodnika na zaledwie kilku maszynach na całym świecie. Przeprogramowanie dysku twardego ma na celu utworzenie skrytki na dane niedostępnej z poziomu systemu operacyjnego. Jest wyposażona w API, które pozwala oprogramowaniu szpiegowskiemu na zapis i odczyt informacji.
Hakerzy uzyskują dzięki temu możliwość przechowywania kopii programu szpiegowskiego oraz wykradzionych informacji w miejscu, z którego nie można ich wymazać podczas formatowania dysku twardego i reinstalacji systemu. Skrytka jest odporna także na software’owe próby niszczenia danych za pomocą wielokrotnego nadpisywania każdego sektora przypadkowymi informacjami, stosowanego w aplikacjach typu Ereaser. Można usunąć ją tylko poprzez fizyczne zniszczenie dysku.
Penetrowanie sieci odciętych od internetu
Hakerzy z NSA opracowali także niezwykłą metodę penetrowania systemów, które są odcięte od światowej sieci. Wirus Fanny przemieszcza się pomiędzy komputerami, korzystając z pamięci USB. Do infekcji systemu używa exploitu, który umożliwia przejęcie uprawnień administracyjnych w systemie Windows oraz wstrzyknięcie złośliwego kodu od razu po podłączeniu zainfekowanego pendrive’a. Co ciekawe, ten sam exploit znajdował się we wczesnych wersjach znanego wirusa Stuxnet, zaprojektowanego do zakłócania pracy wirówek wzbogacających materiały rozszczepialnew ramach irańskiego programu nuklearnego. Pozwala to domniemywać, że Stuxnet był dziełem, przynajmniej częściowo, NSA i działającej w jej strukturach grupy Equation.
Kto jest narażony?
Przeciętny użytkownik raczej nie zetknie się z narzędziami cyberszpiegów. Malware ujawniane jest przede wszystkim na maszynach administracji państwowych oraz działających w strategicznych sektorach gospodarki, a także należących do islamskich fanatyków. Listę krajów, w których znaleziono najwięcej kopii wirusów, otwierają Iran, Rosja, Pakistan oraz Afganistan.
Rosyjscy „książęta” państwowego hackingu
Szpiegostwem cyfrowym zajmują się nie tylko Amerykanie. Wśród najbardziej aktywnych w tej dziedzinie krajów jest Federacja Rosyjska. Świadczy o tym działalność związanej z rosyjskim wywiadem grupy hakerów The Dukes (ang. książęta). Na przestrzeni ostatnich kilku lat wypuściła ona serię trojanów wykorzystujących zero-day, przed którymi nie ma skutecznych zabezpieczeń.
Przykładem rosyjskiego malware’u jest CozyDuke, modułowy trojan, który w zależności od potrzeb możne pobierać plug-iny z serwerów kontrolnych. Standardowo wyposażony jest w funkcje rejestrowania wpisanych znaków i robienia zrzutów ekranowych, a także moduł wykradający hasła, także sieciowe, co umożliwia szkodnikowi rozpowszechnianie się wewnątrz sieci lokalnej organizacji. Trojany są rozsyłane przez zainfekowane serwery oraz węzły sieci TOR. Dostarczane są także w wyniku ataków phishingowych.
Działająca od 2008 roku organizacja na cel bierze źródła informacji interesujące z punktu widzenia rządu rosyjskiego. W okresie poprzedzającym kryzys na Ukrainie hakerzy inwigilowali liczne instytucje w tym kraju. Grupa szpieguje także zachodnie rządy i związane z nimi agencje państwowe, a także kraje postsowieckie, członków organizacji przestępczych oraz czeczeńskich terrorystów.
Inną zidentyfikowaną grupą hakerów na usługach rządu Federacji Rosyjskiej jest Sand Worm. Przeprowadziła ona atak wymierzony w NATO, rząd ukraiński oraz w jedną z polskich firm energetycznych. Dokonano go za pośrednictwem nieznanej wcześniej luki w systemie Windows. Kod został indywidualnie przygotowany dla każdej z ofiar oraz dostarczony za pomocą spersonalizowanego ataku phishingowego. Grupa Sand Worm przeprowadziła atak w połowie 2014 roku.
Malware wyłącza elektrownię
Mógłby to być scenariusz pierwszych godzin fikcyjnej XXI-wiecznej wojny, ale opisane wydarzenia naprawdę miały miejsce. 23 grudnia 2015 roku w połowie budynków ukraińskiego Iwanofrankowska, miasta liczącego 1,5 mln mieszkańców, znienacka zgasło światło. Okazało się, że awaria – przerwa
w dostawie prądu – była skutkiem ataku hakerów, którzy za pomocą szkodliwego oprogramowania zdołali odłączyć lokalną rozdzielnię prądu od elektrowni. Atak został przeprowadzony za pomocą pakietu BlackEnergy, który jest zaprojektowany do uszkadzania komputerów w taki sposób, by nie można było ich ponownie uruchomić.
Po zainfekowaniu komputerów w elektrowni trojan pobrał z serwera komponent KillDisk, który potrafi nie tylko zniszczyć twardy dysk, ale także niektóre komponenty urządzeń do kontroli procesów przemysłowych, m.in konsolę zdalnego zarządzania. Atak przeprowadzono za pomocą niepozornych makr wbudowanych w pliki MS Office (patrz ilustracja) – zainfekowane dokumenty otworzył jeden z pracowników. Według firmy iSight za atakiem stoi grupa hakerów pracujących dla rosyjskiego rządu. Wcześniej celem podobnego ataku były instalacje naftowe w Arabii Saudyjskiej, ale wówczas nie udało się zakłócić procesu przemysłowego.