درباره گروه Equation بیشتر بدانیم

درباره گروه Equation بیشتر بدانیم

در دستاوردهای جدید محققین حوزه امنیت، شواهدی به دست آمده که نشان از عملیات مخرب یک گروه پرقدرت هک و نفوذ در طول 15 سال گذشته دارد. این گروه در این مدت موفق به تولید پیچیده ترین بدافزارها شده و مجموعه ای از اقدامات جاسوسی و مخرب را علیه کشورهای خاصی انجام داده اند. مدارک بدست آمده از فعالیت های این گروه، بیانگر هزینه های گزاف صرف شده برای رسیدن به اهدافشان می باشد. در ادامه این گروه معرفی شده و به تاریخچه ای از فعالیتشان اشاره خواهد شد.

 

گروه Equation چه کسانی هستند ؟

در گزارشاتی که درباره گروه Equation نوشته شده، به طور مشخص انگشت اتهام به سمت آمریکا نشانه نرفته است، ولی شواهدی به جا گذاشته شده که خوانندگان بتوانند با قطعیت هویت واقعی این گروه را شناسایی کنند.

بدافزاری که توسط این گروه استفاده می شود شباهت زیادی با امثال Stuxnet ، Gauss ، Regin و کرم Fanny دارد و طراحی شده تا با استفاده از دو آسیب پذیری روز صفر مشابه، به شبکه های ایزوله نفوذ کند.

محققین عنوان کرده اند که از بدافزار گروه Equation برای توزیع بدافزار Stuxnet استفاده شده است. این گروه همچنین از یک فایل سیستم مجازی که در بدافزار Regin  بوده استفاده کرده که اسناد لو رفته توسط  اسنودن نشان می دهد NSA از آن برای آلوده کردن شرکت های دولتی بلژیک استفاده نموده است.

آخر اینکه، در سورس کدهای گروه Equation به یک Keylogger پیشرفته به نام Grok اشاره شده است که نام Grok قبلا در یک سند دیگر اسنودن که درباره Keylogger توسعه یافته NSA به همین نام بود، ذکر شده است.

ممکن است نتوان به صراحت بیان کرد اما شکی نیست که دولت آمریکا از فعالیت های گروه Equation حمایت می کند.

 

چرا نام گروه Equation  است ؟

محققین می گویند که دلیل این نامگذاری را علاقه گروه به الگوریتم های رمزنگاری، استراتژی های مبهم سازی کد و بهره گیری از روش های پیچیده در عملیات خود می داند.

 

گروه Equation از چه زمانی فعال بوده  است ؟

با اطمینان نمی توان گفت ولی محققین سرورهای فرماندهی و کنترلی (C&C) را کشف کرده اند که در سال 1996 ثبت شده و نشان دهنده سبقه عملیات این گروه به مدت تقریبا دو دهه می باشد.

اولین بدافزار این گروه در سال 2002 وکامپایل شده، در حالی که سرورهای اصلی (C&C) گروه در ماه آگوست سال 2001 ثبت شده اند.

 

این گروه در طول دوره عملیات خود، با گروه های قدرتمند از جمله کسانی که در حال توسعه و گسترش Stuxnet و Flame هستند، همکاری  داشته، اما Equation  همیشه در موضع قدرت بود و زودتر از دیگران به اکسپلویت ها دسترسی داشته است.

با نگاهی به جدول زمانی رویدادها، به نظر می رسد که اولین ضربه این گروه از سال 2001 شروع شد که همزمان با آغاز جنگ علیه ترور در پی حمله 9/11 نیویورک بود.

گروه Equation به چه اهدافی حمله کرده است ؟

محل قربانیان گروه Equation و حوزه هایی که به آن حمله کرده اند

همانطور که در شکل بالا می بینید، قربانیان حملات Equation در 30 کشور و در طیف گسترده ای از صنایع بوده است. ایران، روسیه، پاکستان و افغانستان بیشتر مورد هدف این حملات بودند.

درحالیکه محققین تنها 500 قربانی را در سرتاسر جهان شناسایی کرده اند، پیش بینی می شود که آمار واقعی این حملات شامل ده ها هزار قربانی باشد. این آمار با توجه به طول عمر عملیات گروه دقیق نیست، همچنین آلودگیهای ایجاد شده توسط این گروه یک مکانیسم خود تخریبی دارد که هر گونه شواهدی را از سیستم قربانی پاک می کند.

اهداف بسیار با دقت انتخاب می شوند و وقتی که گروه نمی تواند هویت یک کامپیوتر هدف را اعتبارسنجی کند، قبل از استقرار، از یک بدافزار اعتبارسنج برای تایید هویت هدف استفاده می کند.

 

گروه Equation چه بدافزارهایی را توسعه داده و بکار برده است ؟

این گروه در طول عملیات از طیف وسیعی از بدافزارها و تکنیک های حمله استفاده کرده است که محققین شش بدافزار منحصر به فرد که به گروه Equation مرتبط می شوند را شناسایی نموده اند.

 

EquationLaser: اولین نسخه این بدافزار در سال 2001-2004 مورد استفاده قرار گرفت و با ویندوز 95/98 سازگار بود.

Doublefantasy: گروه از این تروجان برای تایید هدف استفاده می کند. اگر هدف تایید شود، آن را با یک پلت فرم پیچیده تر مانند EquationDrug یا GrayFish به روز رسانی می کنند. همچنین به عنوان یک راه برای باز نگه داشتن Back-Door بر روی سیستم های مورد علاقه گروه استفاده می شود.

EquationDrug (یا Equester):  یکی از پلت فرم های پیچیده جاسوسی می باشد که به عنوان یک Upgrade برای بدافزار EquationLaser ایجاد شده است. ویژگی های اساسی این بدافزار به هکرها امکان کنترل کامل سیستم عامل را می دهد و درصورت نیاز مهاجمین می توانند آن را با plugin های جدید به روزرسانی کنند. محققین 35 نمونه Plugin جدید و 18 درایور برای EquationDrug شناسایی کرده اند. بدافزار حتی اگر نتواند در طول چند ماه از سرور (C&C) خود دستورالعمل دریافت کند، یک مکانیسم خود تخریبی دارد که باعث پاک شدن کلیه شواهد از روی سیستم قربانی می شود.

TripleFantasy: یک Back-Door تمام عیار است که گاهی اوقات همراه با GrayFish مورد استفاده قرار می گیرد. به نظر می رسد که این بدافزار یک Upgrade برای بدافزار Doublefantasy باشد و دارای Plugin های تایید اعتبار جدیدتری است.

GrayFish : به عبارت ساده، این پیچیده ترین پلت فرم حمله گره Equation است. این بدافزار با تکیه بر یک Bootkit بصورت کامل در Startup سیستم عامل در ریجستری می نشیند. هنگامی که یک کامپیوتر بوت می شود،GrayFish  با تزریق کدهای خود به بوت رکورد، مکانیزم بارگذاری سیستم عامل را hijack می کند. در واقع بعد از آلودگی، این GrayFish است که مرحله به مرحله کامپیوتر را اجرا می کند و تغییرات لازم را انجام می دهد.

Fanny : یک کرم کامپیوتری است که توسط گروه Equation در سال 2008 ایجاد و در آسیا و خاورمیانه توزیع شده است. این کرم دو آسیب پذیری روز-صفر را اکسپلویت کرده است که بعدا در طول کشف بدافزار Stuxnet آشکار شد. وقتی که یک USB به یک سیستم متصل می شود بدافزار به صورت خودکار اجرا می شود و به Equation اجازه می دهد که سیستم های امن موجود در شبکه های ایزوله (Air-Gap) که به اینترنت متصل نیستند را آلوده کند.

شرکت مهندسی ابل رایان پویا


«تمامي كالاها و خدمات اين فروشگاه، حسب مورد داراي مجوزهاي لازم از مراجع مربوطه مي‌باشند و فعاليت‌هاي اين سايت تابع قوانين و مقررات جمهوري اسلامي ايران است.»

آنتی ویروس امنیتی بیت دیفندر

به میلیون ها کاربر کامپیوتری که به نشان گرگ اژدهای بیت دیفندر اطمینان کرده اند بپیوندید و از امنیتی آرام لذت ببرید.

راه کارهای امنیتی بیت دیفندر طیف وسیعی از محصولات را برای فراهم کردن امنیتی آرام جهت کاربران خانگی، سازمان های متوسط و بزرگ فراهم کرده است. محصولات بیت دیفندر با امکاناتی نظیر ضد بدافزارها، آنتی ویروس، آنتی فیشینگ، کنترل والدین، دیواره آتش، پرداخت امن، کیف پول امن و ... هر آنچه را که برای محافظت از شما در فضای مجازی نیاز است را در اختیار شما می گزارد.
بیت دیفندر داشته باشید و با خیال آسوده به دنیای مجازی وارد شوید.