Índice
Tường nhà
Bài viết
Kết bạn
Ngăn cấmTrong phổ biến năm qua, Viện Nghiên cứu [URL="http://thietkelogo.vn/"]thiết kế logo[/URL] và Phân tích toàn cầu Kaspersky Lab (GReAT) đã giám sát chặt chẽ hơn 60 mối đe dọa, chịu trách nhiệm về các cuộc tấn công mạng trên toàn thế giới. các mối đe dọa ngày càng phức tạp hơn vì có sự tham gia của rộng rãi quốc gia được thiết bị những công cụ tiên tiến nhất.
Mặc Tuy vậy, các chuyên gia Kaspersky Lab đã phát hiện một nhóm tin tặc hoạt động trong gần hai thập kỷ qua, nổi bật với những khoa học phức tạp và tinh vi, với tên The Equation Group.
Theo Kaspersky Lab, sự độc đáo của Equation Group thể hiện qua những yếu tố hoạt động, như việc tiêu dùng những công cụ cực kỳ phức tạp và đắt đỏ để lây nhiễm mã độc, đánh cắp dữ liệu, che đậy giấu vết 1 phương pháp chuyên nghiệp, và tận dụng các kỹ thuật gián điệp cổ điển để phát tán phần mềm độc hại.
Để lây nhiễm mã độc, Equation Group sử dụng kỹ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.
Khả năng tàng hình và bám "dai như đĩa"
Đây mang lẽ là công cụ mạnh mẽ nhất trong kho vũ khí của Equation Group, và khả năng đầu tiên được biết đến là lây nhiễm phần mềm độc hại cho các ổ đĩa cứng. Bằng phương pháp tái lập trình firmware của ổ cứng (tức chương trình quản lý và điều khiển ổ đĩa cứng), nhóm tin tặc sở hữu thể đạt được hai mục đích:
Mục đích vật dụng nhất: Phần mềm độc hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặt firmware. ví như mã độc được đưa vào firmware, nó với thể tự hồi sinh mãi mãi, đồng thời sở hữu có thể ngăn chặn việc xóa một khu vực nhất định.
Ổ cứng trên máy tính của bạn với thể đang bị cài firmware nhiễm độc.
Costin Raiu, Giám đốc GReAT Kaspersky Lab, cho biết: “Một điều nguy hiểm là lúc ổ cứng bị nhiễm độc, nó không thể tự quét lại firmware gốc. Nguyên nhân là do hầu hết các ổ cứng có chức năng ghi dữ liệu vào khu vực lưu trữ firmware nhưng ko sở hữu chức năng để đọc firmware gốc trở lại”.
không tính ra, trong một số trường hợp, nó với thể giúp nhóm tin tặc bẻ khóa những mật mã. “Thực tế, việc chúng cấy ghép GrayFish vào quá trình khởi động hệ thống, với thể giúp chúng nắm bắt các mật khẩu mã hóa và lưu nó vào khu vực ẩn này”, Costin Raiu kể thêm.
Trước đấy, Kaspersky Lab từng cho biết, những điệp viên đã thực hiện 1 bước đột phá công nghệ khi chọn ra phương pháp để tích hợp phần mềm độc hại vào những loại mã phức tạp được gọi là firmware mà sẽ chạy mỗi lúc máy tính được bật.
Kaspersky Lab đã tái tạo lại chương trình gián điệp và nhận ra rằng, chúng có thể làm cho việc trong những ổ đĩa của hơn 10 doanh nghiệp, bao gồm đa dạng tên tuổi trên thị trường, như Western Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc và Samsung Electronics Co Ltd...
Khả năng truy xuất dữ liệu từ những máy tính ko với internet
Sâu Fanny được phát hiện trong đa số các cuộc tấn công được thực hiện bởi nhóm Equation. Mục đích chính của nó là để lập ra 1 bản đồ hệ thống mạng cô lập (air-gapped network), kể bí quyết khác là để hiểu được cấu trúc liên kết của 1 mạng lưới mà chúng không thể đạt được và để thực hiện lệnh cô lập hệ thống. Để khiến được điều này, nó được tiêu dùng 1 lệnh và kiểm soát cơ chế dựa trên USB đặc trưng, cho phép những kẻ tấn công truyền dữ liệu qua lại giữa các mạng air-gapped network.
khi 1 USB nhiễm độc, nó sẽ có một khu vực lưu trữ ẩn được dùng để thu thập thông tin cơ bản từ máy tính ko sở hữu kết nối Internet. Và sau đó gửi thông tin về máy chủ của hacker khi USB được cắm vào 1 máy tính bị nhiễm sâu Fanny và mang kết nối Internet. ví như kẻ tấn công chạy lệnh trên air-gapped network, chúng với thể lưu các lệnh này trong khu vực ẩn của USB. lúc USB được cắm trở lại vào những máy trong mạng cô lập, sâu Fanny sẽ nhận lệnh và thực thi chúng.
Sâu Fanny mang liên quan tới "bạn đường" STUXNET và FLAME
Nhóm Equation đã tương tác mạnh mẽ với các nhóm khác, chẳng hạn như việc nhóm khai thác sâu Stuxnet và Flame. Nhóm Equation mang quyền truy cập vào lỗi zero-day trước lúc chúng bị khai thác bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác mang với những người khác.
Ví dụ, trong năm 2008, sâu Fanny đã khai thác trước hai lỗ hổng zero-day mang liên quan đến Stuxnet vào tháng 6/2009 và tháng 3/2010.
Nhóm Equation đã tiêu dùng một hệ thống máy chủ C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. các máy chủ được đặt tại rộng rãi quốc gia, trong đấy mang Mỹ, Anh, Ý, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và cộng hòa Séc.
Từ năm 2001, Equation Group đã thực hiện hàng ngàn phiên lây nhiễm, và mang thể lên tới hàng chục ngàn nạn nhân ở hơn 30 quốc gia trên toàn thế giới, bao gồm những lĩnh vực: Chính phủ và các cơ quan ngoại giao, những viện viễn thông, hàng không vũ trụ, năng lượng, nghiên cứu hạt nhân, dầu khí, kỹ thuật nano, các nhà hoạt động quân sự và các học nhái, phương tiện truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và những công ty tăng trưởng công nghệ mã hóa.
Sâu Fanny bị phát hiện sau 5 tháng hoạt động
Trong quá trình lây nhiễm, nhóm Equation mang khả năng [URL="http://thietkelogo.vn/thiet-ke-nhan-dien-thuong-hieu/"]bộ nhận diện thương hiệu[/URL] đã tiêu dùng mười cách khai thác trong 1 chuỗi. Tuy nhiên, những chuyên gia của Kaspersky Lab nhận thấy rằng, ko có rộng rãi hơn ba cách khai thác được sử dụng: nếu một trong hai bí quyết khai thác đầu tiên ko thành công, chúng sẽ thử tới khai thác thiết bị ba. ví như cả ba cách khai thác đều thất bại, chúng sẽ ko lây nhiễm hệ thống nữa.
những sản phẩm của Kaspersky Lab đã phát hiện 1 số hành động tấn công người mua của mã độc nói trên. đa dạng vụ tấn công ko thành công vì vấp bắt buộc sự phát hiện và ngăn chặn khai thác các lỗ hổng chưa được biết từ công nghệ Automatic Exploit Prevention. Theo Kaspersky Lab, sâu Fanny với lẽ đã được tạo ra vào tháng 07/2008, được máy móc tự động của Kaspersky Lab phát hiện lần đầu và đưa vào danh sách đen trong tháng 12/2008.
Mặc Tuy vậy, các chuyên gia Kaspersky Lab đã phát hiện một nhóm tin tặc hoạt động trong gần hai thập kỷ qua, nổi bật với những khoa học phức tạp và tinh vi, với tên The Equation Group.
Theo Kaspersky Lab, sự độc đáo của Equation Group thể hiện qua những yếu tố hoạt động, như việc tiêu dùng những công cụ cực kỳ phức tạp và đắt đỏ để lây nhiễm mã độc, đánh cắp dữ liệu, che đậy giấu vết 1 phương pháp chuyên nghiệp, và tận dụng các kỹ thuật gián điệp cổ điển để phát tán phần mềm độc hại.
Để lây nhiễm mã độc, Equation Group sử dụng kỹ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.
Khả năng tàng hình và bám "dai như đĩa"
Đây mang lẽ là công cụ mạnh mẽ nhất trong kho vũ khí của Equation Group, và khả năng đầu tiên được biết đến là lây nhiễm phần mềm độc hại cho các ổ đĩa cứng. Bằng phương pháp tái lập trình firmware của ổ cứng (tức chương trình quản lý và điều khiển ổ đĩa cứng), nhóm tin tặc sở hữu thể đạt được hai mục đích:
Mục đích vật dụng nhất: Phần mềm độc hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặt firmware. ví như mã độc được đưa vào firmware, nó với thể tự hồi sinh mãi mãi, đồng thời sở hữu có thể ngăn chặn việc xóa một khu vực nhất định.
Ổ cứng trên máy tính của bạn với thể đang bị cài firmware nhiễm độc.
Costin Raiu, Giám đốc GReAT Kaspersky Lab, cho biết: “Một điều nguy hiểm là lúc ổ cứng bị nhiễm độc, nó không thể tự quét lại firmware gốc. Nguyên nhân là do hầu hết các ổ cứng có chức năng ghi dữ liệu vào khu vực lưu trữ firmware nhưng ko sở hữu chức năng để đọc firmware gốc trở lại”.
không tính ra, trong một số trường hợp, nó với thể giúp nhóm tin tặc bẻ khóa những mật mã. “Thực tế, việc chúng cấy ghép GrayFish vào quá trình khởi động hệ thống, với thể giúp chúng nắm bắt các mật khẩu mã hóa và lưu nó vào khu vực ẩn này”, Costin Raiu kể thêm.
Trước đấy, Kaspersky Lab từng cho biết, những điệp viên đã thực hiện 1 bước đột phá công nghệ khi chọn ra phương pháp để tích hợp phần mềm độc hại vào những loại mã phức tạp được gọi là firmware mà sẽ chạy mỗi lúc máy tính được bật.
Kaspersky Lab đã tái tạo lại chương trình gián điệp và nhận ra rằng, chúng có thể làm cho việc trong những ổ đĩa của hơn 10 doanh nghiệp, bao gồm đa dạng tên tuổi trên thị trường, như Western Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc và Samsung Electronics Co Ltd...
Khả năng truy xuất dữ liệu từ những máy tính ko với internet
Sâu Fanny được phát hiện trong đa số các cuộc tấn công được thực hiện bởi nhóm Equation. Mục đích chính của nó là để lập ra 1 bản đồ hệ thống mạng cô lập (air-gapped network), kể bí quyết khác là để hiểu được cấu trúc liên kết của 1 mạng lưới mà chúng không thể đạt được và để thực hiện lệnh cô lập hệ thống. Để khiến được điều này, nó được tiêu dùng 1 lệnh và kiểm soát cơ chế dựa trên USB đặc trưng, cho phép những kẻ tấn công truyền dữ liệu qua lại giữa các mạng air-gapped network.
khi 1 USB nhiễm độc, nó sẽ có một khu vực lưu trữ ẩn được dùng để thu thập thông tin cơ bản từ máy tính ko sở hữu kết nối Internet. Và sau đó gửi thông tin về máy chủ của hacker khi USB được cắm vào 1 máy tính bị nhiễm sâu Fanny và mang kết nối Internet. ví như kẻ tấn công chạy lệnh trên air-gapped network, chúng với thể lưu các lệnh này trong khu vực ẩn của USB. lúc USB được cắm trở lại vào những máy trong mạng cô lập, sâu Fanny sẽ nhận lệnh và thực thi chúng.
Sâu Fanny mang liên quan tới "bạn đường" STUXNET và FLAME
Nhóm Equation đã tương tác mạnh mẽ với các nhóm khác, chẳng hạn như việc nhóm khai thác sâu Stuxnet và Flame. Nhóm Equation mang quyền truy cập vào lỗi zero-day trước lúc chúng bị khai thác bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác mang với những người khác.
Ví dụ, trong năm 2008, sâu Fanny đã khai thác trước hai lỗ hổng zero-day mang liên quan đến Stuxnet vào tháng 6/2009 và tháng 3/2010.
Nhóm Equation đã tiêu dùng một hệ thống máy chủ C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. các máy chủ được đặt tại rộng rãi quốc gia, trong đấy mang Mỹ, Anh, Ý, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và cộng hòa Séc.
Từ năm 2001, Equation Group đã thực hiện hàng ngàn phiên lây nhiễm, và mang thể lên tới hàng chục ngàn nạn nhân ở hơn 30 quốc gia trên toàn thế giới, bao gồm những lĩnh vực: Chính phủ và các cơ quan ngoại giao, những viện viễn thông, hàng không vũ trụ, năng lượng, nghiên cứu hạt nhân, dầu khí, kỹ thuật nano, các nhà hoạt động quân sự và các học nhái, phương tiện truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và những công ty tăng trưởng công nghệ mã hóa.
Sâu Fanny bị phát hiện sau 5 tháng hoạt động
Trong quá trình lây nhiễm, nhóm Equation mang khả năng [URL="http://thietkelogo.vn/thiet-ke-nhan-dien-thuong-hieu/"]bộ nhận diện thương hiệu[/URL] đã tiêu dùng mười cách khai thác trong 1 chuỗi. Tuy nhiên, những chuyên gia của Kaspersky Lab nhận thấy rằng, ko có rộng rãi hơn ba cách khai thác được sử dụng: nếu một trong hai bí quyết khai thác đầu tiên ko thành công, chúng sẽ thử tới khai thác thiết bị ba. ví như cả ba cách khai thác đều thất bại, chúng sẽ ko lây nhiễm hệ thống nữa.
những sản phẩm của Kaspersky Lab đã phát hiện 1 số hành động tấn công người mua của mã độc nói trên. đa dạng vụ tấn công ko thành công vì vấp bắt buộc sự phát hiện và ngăn chặn khai thác các lỗ hổng chưa được biết từ công nghệ Automatic Exploit Prevention. Theo Kaspersky Lab, sâu Fanny với lẽ đã được tạo ra vào tháng 07/2008, được máy móc tự động của Kaspersky Lab phát hiện lần đầu và đưa vào danh sách đen trong tháng 12/2008.