‘Уравнение’ Cyber-Espionage Group, вероятно, связанная с NSA, Kaspersky Says

Кибершпионы захватили тысячи компьютеров со сложным вредоносным программным обеспечением, включая код, что изменяет встроенное микропрограммное обеспечение многих, жесткий диск делает и модели.«Довольно много заражений наблюдалось относительно серверов, довольно часто контроллеров домена, хранилищ данных, веб-других типов и хостинга серверов», заявили исследователи в их отчете. «В один момент, заражения имеют самоликвидироваться механизм, так, мы можем высказать предположение, что были, возможно, десятки тысяч заражений в мире везде по истории операций группы Уравнения».Несколько Уравнения применяла довольно много модулей, чтобы рекогносцировать и заразить совокупности.

DoubleFantasy есть модулем, либо «имплантируйте», что устанавливает тёмный движение в совокупности, проверяя, что поставившая под угрозу машина занимательна атакующим. Это тогда устанавливает дополнительное ПО, такое как EquationDrug либо GrayFish.У группы Уравнения, думается, имеется технические связи с Stuxnet.

Оба применяют программу, названную «Фанни», чтобы заразить Карты памяти и применять популярные карты памяти в качестве метода передать и распространить заражение. Помимо этого, кое-какие главные слова в программе соответствуют кодовым заглавиям программ NSA, пропущенных бывшим подрядчиком Эдуардом Сноуденом.Шпионская несколько заразила тысячи и вероятно десятки тысяч – целей глобально посредством сложного вредоносного ПО, которое имеет контрольные связи для кодирования ранее приписанный операциям, выполненным Агентством нацбезопасности, согласно отчету шестнадцать февраля Kaspersky Lab.EquationDrug дает полный контроль атакующих над поставившей под угрозу совокупностью, посредством тридцать пять разных плагинов.

Так как EquationDrug не есть бинарным файлом со знаком, он будет обнаружен во многих современных операционных совокупностях, и несколько Уравнения разумеется прекратила применять его в 2013, согласно данным Kaspersky Lab. В его месте была установлена вторая платформа имплантата, известная как GrayFish.Всего, компания замечала больше чем пятьсот заражений, но предполагает, что имело возможность легко быть больше чем десять 000 совокупностей, поставивших под угрозу за прошлые пятнадцать лет либо около этого.

Kaspersky назвал группу «Уравнением» для его склонности к путанице и сложным алгоритмам шифрования. Несколько предназначалась больше чем для тридцать государств, с фокусом на Иране, России, Пакистане, Афганистане, Индии и Китае.

Названное «Уравнение» исследователями Kaspersky, несколько действовала в течение по крайней мере пятнадцать лет, предназначаясь для множества и правительств критических отраслей, включая газ и нефть, военных подрядчиков, телекоммуникации и ядерное изучение. Упрочнение по контролю также сфокусировалось на исламских учёных и шифровальщиках, сообщили исследователи Kaspersky.

Вредоносное ПО есть последней шпионской сетью, разумеется соединенной с этническим страной. Прошлое изучение Symantec, Kaspersky и другими компаниями безопасности представило подробные эти второй непростой работы, известной как Regin со связями и с английскими и с американскими разведслужбами. Два года назад Kaspersky также продемонстрировал технические подробности громадной шпионской сети, которая, казалось, имела российские и китайские источники.

«От всех указаний это – весьма усовершенствованное вредоносное ПО, которое может заразить встроенное микропрограммное обеспечение твёрдого диска», Ламар Бэйли, директор R&D безопасности в компании безопасности Растяжка, заявленная. «Зараженное встроенное микропрограммное обеспечение из производственного предприятия либо убеждения пользователей обновить до зараженного встроенного микропрограммного обеспечения есть очень неспециализированным но передающим встроенным микропрограммным обеспечением негромко, на месте намного более страшно».GrayFish есть «весьма сложным» набором программ, что угоняет загрузку ОС, зашифрованные модули применения и само – разрушает, в случае если неточность происходит. Вредоносная платформа GrayFish включает модуль, что может переписать встроенное микропрограммное обеспечение твёрдого диска, дав полный контроль программы компьютера практически сразу после того, как машина включена, сообщили исследователи Kaspersky.

Информация о возможности имплантата NSA переписать встроенное микропрограммное обеспечение, известное под кодовым заглавием «IrateMonk», была пропущена в документах Сноудена.Тогда как все вредоносное ПО, найденное Kaspersky Lab, сфокусировалось на ОС Windows, существуют символы, что кое-какие версии нужной нагрузки DoubleFantasy заразили Mac OS X 10.8, тогда как второе ПО заразило iPhone.


TCNMS.RU