Theo Kaspersky Lab, sự độc đáo của Equation Group thể hiện qua các khía cạnh hoạt động như việc sử dụng các công cụ rất phức tạp và đắt đỏ để lây nhiễm, đánh cắp dữ liệu, che đậy giấu vết chuyên nghiệp, và tận dụng các kỹ thuật gián điệp cổ điển để phát tán phần mềm độc hại.
Để lây nhiễm nạn nhân, Equation Group sử dụng kĩ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.
Điều gì tạo nên sự độc đáo của Equation Group?
Viện nghiên cứu và phân tích toàn cầu Kaspersky Lab (GReAT) đã có thể khôi phục lại hai mô-đun cho phép việc tái lập trình firmware ổ cứng của hơn một tá nhãn hiệu HDD phổ biến. Đây có lẽ là công cụ mạnh mẽ nhất trong kho vũ khí của Equation Group.
Bằng cách tái lập trình firmware của ổ cứng (tức là viết lại hệ điều hành của ổ đĩa cứng), nhóm đạt được hai mục đích:
1. Phần mềm độc hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặt hệ điều hành. Nếu mã độc được đưa vào firmware, nó có thể tự hồi sinh mãi mãi.
2. “Thực tế rằng việc chúng cấy ghép GrayFish từ việc khởi động hệ thống, có thể giúp chúng nắm bắt các mật khẩu mã hóa và lưu nó vào khu vực ẩn này,” Costin Raiu nói thêm.
Khả năng truy xuất dữ liệu từ các mạng bị cô lập
Sâu Fanny được phát hiện ra từ tất cả các cuộc tấn công được thực hiện bởi các nhóm Equation. Mục đích chính của nó là để lập bản đồ hệ thống mạng cô lập (air-gapped network). Để làm được điều này, nó sử dụng 1 USB đặc biệt dựa trên cơ chế C&C cho phép kẻ tấn công truyền dữ liệu qua lại từ air-gapped network.
Phương pháp gián điệp cổ điển để phát tán phần mềm độc hại
Một trường hợp tấn công thực tế được ghi nhận như sau: một số đại biểu tham gia tại hội nghị khoa học ở Houston: khi trở về nhà đã nhận được bản sao của các tài liệu hội nghị được chép vào CD-ROM, thực chất đã được Equation sử dụng để cài DoubleFantasy vào máy của mục tiêu. Phương pháp chính xác để ngăn chặn các đĩa CD này hiện nay vẫn chưa được làm rõ.
Những người bạn nổi tiếng: STUXNET và FLAME
Có liên kết vững chắc cho thấy rằng nhóm Equation đã tương tác mạnh mẽ với các nhóm khác chẳng hạn như việc khai thác Stuxnet và Flame. Nhóm Equation có quyền truy cập vào zero-day trước khi chúng được sử dụng bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác với với những người khác.
Cơ sở hạ tầng mạnh mẽ và rộng lớn
Nhóm Equation đã sử dụng một hệ thống máy C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. Các máy chủ được đặt tại nhiều quốc gia, trong đó có Mỹ, Anh, Ý, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Cộng hòa Séc.
TRIỆU MẪN - Theo Kaspersky