揭秘史上最強攻擊組織“方程式（Equation Group）”

卡巴斯基安全實驗室近日發(fā)現(xiàn)了一個名為方程式（Equation Group）的史上最強網(wǎng)絡(luò)犯罪組織。該團伙已活躍近20年，并且在攻擊復(fù)雜性和攻擊技巧方面超越了歷史上所有的網(wǎng)絡(luò)攻擊組織。

強大的幕后黑手：方程式組織（Equation Group）

根據(jù)卡巴斯基實驗室目前所掌握的證據(jù)，“方程式組織”（Equation Group）與其他網(wǎng)絡(luò)犯罪組織有關(guān)聯(lián)，并被認(rèn)為是著名的震網(wǎng)（Stuxnet）和火焰（Flame）病毒幕后的操縱者。

早在Stuxnet和Flame使用0day漏洞進行攻擊之前，“方程式組織”就已經(jīng)掌握了這些0day漏洞。有些時候，他們還會同其他網(wǎng)絡(luò)犯罪組織分享漏洞利用程序。

在此次卡巴斯基發(fā)現(xiàn)的“方程式組織”惡意軟件中，共使用了7種漏洞利用程序，其中至少有4種為0day漏洞！

從2001年到現(xiàn)在，“方程式組織”已經(jīng)在伊朗、俄羅斯、敘利亞、阿富汗、阿拉伯聯(lián)合大公國、中國（香港）、英國、美國等全球超過30個國家感染了數(shù)千個，甚至上萬個受害者。

基于“方程式組織”所使用的惡意程序有自我毀滅機制，卡巴斯基推斷以上受害者只是冰山一角，實際數(shù)目可能更多。

這些受害者包括政府和外交機構(gòu)、電信行業(yè)、航空行業(yè)、能源行業(yè)、核能研究機構(gòu)、石油和天然氣行業(yè)、軍工行業(yè)、納米技術(shù)行業(yè)、伊斯蘭激進分子和學(xué)者、大眾媒體、交通行業(yè)、金融機構(gòu)以及加密技術(shù)開發(fā)企業(yè)等。

超凡技術(shù)實力

“方程式組織”發(fā)展了極為強大的“軍火庫”，惡意間諜軟件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等。

硬盤病毒

卡巴斯基研究團隊發(fā)現(xiàn)了“方程式組織”兩個可以對數(shù)十種常見品牌的硬盤固件進行重新編程的惡意模塊。這可能是“方程式組織”所掌握的最強大的武器，同時也是首個已知的能夠直接感染硬盤的惡意軟件。

1、GrayFish可以自寫入進入計算機的引導(dǎo)記錄（在操作系統(tǒng)啟動前運行），然后將其數(shù)據(jù)存儲進操作系統(tǒng)的注冊表中。 2、EquationDrug用于攻擊老版本的Windows操作系統(tǒng)，比如Windows 95/98/ME

攻擊者可通過重新編程硬盤固件（即重寫磁盤驅(qū)動器的操作系統(tǒng)），讓惡意軟件達到極高的頑固性，甚至在格式化磁盤和重裝系統(tǒng)后仍然能夠存活。

如果惡意軟件入侵磁盤固件，它將無限次地“復(fù)活”。它可能會阻止刪除某個特定的磁盤扇區(qū)，或在系統(tǒng)重啟過程中將其替換為惡意代碼。

卡巴斯基專家Costin Raiu對此警告說：

“還有一種危險，即當(dāng)磁盤被感染后，就無法對其固件進行掃描。簡言之，大多數(shù)硬盤只能對其硬件固件區(qū)域進行寫入，卻不具備讀取功能。這意味著，我們幾乎對此一無所知，無法檢測磁盤是否被該惡意軟件所感染。”

由于病毒在系統(tǒng)啟動初始階段就處于活動狀態(tài)，它能夠截取加密密碼，并將其保存在磁盤的隱藏區(qū)域。

斷網(wǎng)照樣竊取信息

不僅如此，“方程式組織”還能夠從隔離網(wǎng)絡(luò)中獲取數(shù)據(jù)，該組織使用的惡意軟件Fanny使用了一種獨特的基于USB的命令和控制機制，允許攻擊者向來隔絕網(wǎng)絡(luò)之外回傳送數(shù)據(jù)。

具體來說，這是一個包含一個隱藏區(qū)域的U盤，它可以從未聯(lián)網(wǎng)的計算機上收集基礎(chǔ)系統(tǒng)信息；而當(dāng)該U盤被插入到聯(lián)網(wǎng)計算機上時，惡意軟件Fanny會將收集到的系統(tǒng)信息發(fā)送至C&C（命令和控制中心）。

感染各大品牌硬盤

卡巴斯基在報告中顯示，很多大品牌硬盤可能均受影響，包括三星、西數(shù)、希捷、邁拓、東芝以及日立等公司。這些受到感染的硬盤使得攻擊者可以持續(xù)的對受害者的計算機進行控制和數(shù)據(jù)竊取。

多項證據(jù)指向美國國安局（NSA）

卡巴斯基并未說明“方程式組織”強大能力的背后主謀是誰，但卻指出其種種手法，暗示可能與美國國安局NSA的間諜活動有關(guān)。

例如2009年該組織在休士頓攔截郵寄途中的光碟，并植入用于黑客行為的惡意程序，再寄給原收件單位。這手法和NSA半路攔截且感染思科網(wǎng)路設(shè)備的 手法很像。第二例是卡巴斯基分析“方程式組織”程序中不小心泄露的關(guān)鍵字，發(fā)現(xiàn)鍵盤監(jiān)聽程序Grok，這出現(xiàn)在去年媒體報導(dǎo)NSA用于感染全球數(shù)百萬電腦 的攻擊工具中。

最后一點證據(jù)則是其與震網(wǎng)（Stuxnet）和火焰（Flame）病毒之間的關(guān)聯(lián)性。歐美媒體曾報導(dǎo)，Stuxnet和Flame分別是NSA、中 情局（CIA）在背后操刀發(fā)動的攻擊行動。近年來Stuxnet已被多次發(fā)現(xiàn)鎖定伊朗，Stuxnet蠕蟲攻擊伊朗的時間點最早可追溯到2005年。

目前NSA對此并未向媒體做出任何評論，F(xiàn)reeBuf將帶來跟蹤報道。

相關(guān)閱讀：震網(wǎng)病毒

Stuxnet“震網(wǎng)”蠕蟲病毒（超級工廠病毒）是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，它能夠利用對Windows系統(tǒng)和西門子 SIMATIC WinCC系統(tǒng)的7個漏洞進行攻擊。特別是針對西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)進行攻擊，由于該系統(tǒng)在我國的多個重要行業(yè)應(yīng)用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業(yè)的人機交互 與監(jiān)控。該病毒主要通過U盤和局域網(wǎng)進行傳播，曾造成伊朗核電站推遲發(fā)電。2010年9月25日進入中國。