Kaspersky Lab a descoperit legaturi intre NSA si grupari de hackeri
Kaspersky Lab a descoperit legaturi intre NSA si grupari de hackeriExperti de la grupul de siguranta cibernetica Kaspersky Lab (companie ruseasca) au descoperit probe evidente care pun in legatura agentia americana NSA cu o grupare de hackeri ce activeaza in mediul online.
Hackerii care se auto-numesc Grupul Ecuatia ("Equation Group") trebuie sa fi fost sponsorizati de o intreaga natiune ce dispune de vaste resurse pentru a reusi sa opereze online la o asemenea anvergura, sunt de parere analistii IT de la Kaspersky.
Cea mai relevanta proba ce pune in legatura agentia NSA cu Equation Group este combinatia de caractere "BACKSNARF_AB25" care a fost gasita intr-o proba recoltata din platforma de spionaj cibernetic cunoscuta sub numele de "EquationDrug" (Drogul Ecuatiei).
Conform unei prezentari de 19 pagini apartinand NSA si care a ajuns la Ars Technica, "BACKSNARF" este numele unei operatiuni NSA desfasurate in cadrul denumit "Tailored Access Operations".
Dan Gooding de la Ars Technica arata ca "desi prezenta artefactului "BACKSNARF" nu reprezinta o dovada de necontestat a faptului ca apartine unui proiect NSA (dupa nume), totusi sunt extrem de mici sansele ca cele doua operatiuni cibernetice sa nu fi avut nici-o legatura intre ele, dat fiind faptul ca ambele beneficiaza de finantare uriasa care se poate asigura numai de la un nivel guvernamental".
Un raport publicat pe 11 martie 2015 de catre Kaspersky Lab arata ca "urmele" din interiorul virusului informatic raspandit de Equation Group arata ca hackerii isi desfasurau activitatea aproape in exclusivitate numai in zilele de luni pana vineri. Presupunand ca lucrau intre orele 8 - 17, se pare ca ar fi vorba de
angajati care se afla localizati in partea de est a SUA.
Este foarte putin probabil ca aceste date de acces referitoare la timp sa fi fost manipulate intentionat, subliniaza raportul, deoarece diferitele fisiere executabile (programe) ce au fost infectate de Equation Group arata ca au fost folosite in sisteme de operare care li se potrivesc (conform urmelor referitoare la momentele de timp in care au actionat).
In februarie 2015, Kaspersky a pus la dispozitie detalii despre o operatiune a Equation Group prin care au fost infectate 500 de calculatoare din cel putin 30 de tari inclusiv Brazilia, Rusia, India, Africa de Sud, Franta, Germania, Elvetia, Iran, Siria, Pakistan si Afganistan. Aici merita sa observam ca printre aceste tari se contureaza grupul BRICS... Operatiunea de infectare a avut ca tinte banci, guverne, ambasade, companii din domeniul energiei si al infrastructurii de transport, mass-media, telecomunicatii, etc.
In timp ce revelatiile aparute in urma anchetei au determinat articole in mass-media care sustin ca agentia americana NSA se afla in spatele vastei operatiuni de spionaj, Kaspersky s-a limitat in a nu spune ca Equation Group este opera NSA.
Conform lui Gooding, Equation Group este indubitabil "cea mai complexa, laborioasa, avansata si eficienta operatiune de spionaj cibernetic din cate s-au descoperit pana acum".
Kaspersky a identificat doua module care pot sa re-programeze total mai mult de o duzina de marci de discuri HDD ("hard drive") printre care Maxtor, Seagate, Hitachi, Toshiba, prin inlocuirea instructiunilor proprii de operare a unui hard-disc. Aceasta "smecherie" este o adevarata amenintare PERSISTENTA si permite virusului sa fie ignorat de programul antivirus si sa ramana activ chiar daca hard-discul este re-initializat ("format") sau sistemul de operare al calculatorului este instalat din nou.
Kaspersky a declarat ca "suntem siguri ca exista o astfel de amenintare si pentru sisteme de operare tip Linux" (din moment ce modulul-spion se instaleaza chiar in instructiunile proprii hard-discului, si care nu depind de vreun fel de sistem de operare pentru calculator). "Este genial".
Un hard-disc infectat astfel ("low-level") va trebui sa fie supus unui alt fel de de-virusare (special construita pentru hard-discuri), altfel va trebui sa fie pur si simplu distrus pentru a elimina infectia. Fiind complet ne-detectata de asa-numitele scannere (programe anti-virus), infectia va ramane operationala si va fi activa, fara a da de banuit in vreun fel.
Operatiunea Equation Group este atat de sofisticata incat pune in umbra deja celebra StuxNet...
Despre autor
Marian Apostol este redactor AIM