info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

گروه Equation؛ سازنده پیچیده‌ترین بدافزارهای جاسوسی

مقدمه

در این گزارش به بررسی ماهیت گروه Equation و بدافزارهای تولید شده توسط این گروه پرداخته خواهد شد. گزارشی که در تاریخ ۲۸ بهمن ماه ۱۳۹۳ توسط شرکت Kaspersky منتشر شد به معرفی گروهی با نام Equation می‌پردازد که بزرگ‌ترین و پیشرفته‌ترین گروه تولید ابزارهای جاسوسی سایبری است که تا کنون در جهان شناخته شده است. این گروه از سال ۲۰۰۱ (و به روایتی از سال ۱۹۹۶) در این زمینه فعال بوده و به جاسوسی سایبری مشغول بوده است. این گروه از چندین پلتفرم پیشرفته برای جاسوسی استفاده می‌کند که برخی از آن‌ها از لحاظ پیچیدگی و حرفه‌ای بودن حتی از بدافزاری مانند Regin نیز برتر هستند.

علت نامگذاری

علت نامگذاری این گروه به Equation علاقه بسیار زیاد این گروه به الگوریتم‌های رمزنگاری و استراتژی‌های مبهم‌سازی است که در طی عملیات‌های انجام گرفته توسط این گروه مورد استفاده قرار گرفته است. یکی از نکات جالب، استفاده یکی از بدافزارهای این گروه با نام GrayFish از مکانیزمی است که قبلاً توسط بدافزار Gauss نیز مورد استفاده قرار گرفته بود.

بدافزارها و ابزارهایی مورد استفاده توسط این گروه

بدافزارها و ابزارهای مورد استفاده توسط این گروه عبارتند از:

  • EquationDrug: پلتفرم حمله بسیار پیچیده که برای حمله به قربانیان مورد استفاده قرار می‌گیرد. این پتلفرم از یک مکانیزم Plugin استفاده می‌کند که می‌تواند به صورت پویا بارگذاری و باربرداری گردد.
  • DoubleFantasy: یک تروجان تایید کننده. این مولفه وظیفه دارد که تشخیص دهد آیا سیستم آلوده شده همان هدف از پیش مشخص شده است یا خیر. اگر تایید با موفقیت انجام گیرد، سیستم قربانی به یک پلتفرم قوی‌تر مانند EquationDrug یا GrayFish به روز رسانی می‌شود.
  • Equestre: مانند EquationDrug
  • TripleFantasy: Backdoor با قابلیت‌های بسیار که همراه با Grayfish مورد استفاده قرار می‌گیرد. احتمالاً یک نسخه به روز رسانی شده از DoubleFantasy است.
  • GrayFish: پیچیده‌ترین پتلفرم حمله مورد استفاده توسط گروه Equation. تمامی مولفه‌های این پلتفرم در رجیستری قرار دارند و از یک Bootkit برای اجرا در حین بوت سیستم عامل استفاده می‌کند.
  • Fanny: کرم تولید شده در سال ۲۰۰۸ که برای جمع‌آوری اطلاعات از اهدافی در خاورمیانه و آسیا مورد استفاده قرار گرفته است. سیستم‌های آلوده شده به این بدافزار بعداً با DoubleFantasy و EquationDrug به روز رسانی شده‌اند. این بدافزار از آسیب‌پذیری‌هایی استفاده می‌کند که بعداً در سال ۲۰۱۰ توسط استاکس‌نت مورد استفاده قرار گرفت.
  • EuqationLaser: یک تروجان اولیه از گروه Equation که در بین سال‌های ۲۰۰۱ تا ۲۰۰۴ مورد استفاده قرار می‌گرفته است. با ویندوزهای ۹۵ و ۹۸ سازگار است

شکل ۱- ابزارها و بدافزارهای مورد استفاده توسط گروه Equation

معرفی بدافزارهای گروه Equation

۱.DoubleFantsy

تیم Eqation از این تروجان برای تایید قربانیان خود استفاده می‌کند. این تروجان دو هدف اصلی دارد:

  • تایید اینکه آیا قربانی واقعاً برای تیم جذاب است یا خیر: اگر چنین بود قربانی با یکی از پلتفرم‌های EquationDrug یا GrayFish آلوده می‌شود.
  • برای نگه‌داری یک Backdoor بر روی سیستمی که احتمالاً جذاب است.

۲.EquationDrug

یکی از پیچیده‌ترین پلتفرم‌های جاسوسی مورد استفاده توسط این گروه است. این پلتفرم بین سال‌های ۲۰۰۳ تا ۲۰۱۳ توسعه یافته و بعداً با GrayFish جایگزین شده است. مراحل آلودگی توسط این بدافزار در شکل زیر ارایه گردیده است:

شکل ۲- فرآیند آلودگی به بدافزار EquationDrug

به صورت پیش‌فرض یک مجموعه از ماژول‌ها بر روی سیستم قربانی نصب می‌گردد که امکان کنترل کامل بر روی سیستم عامل را برای حمله کننده فراهم می‌آورد. در شرایطی که امکانات اولیه بدافزار برای جاسوسی از قربانی کافی نباشد، EquationDrug قابلیت نصب افزونه‌های جدید را نیز دارد تا کارایی خود را افزایش دهد. تا کنون حدود ۳۵ افزونه مختلف و ۱۸ درایور برای این بدافزار کشف گردیده است.

ماژول‌های هسته‌ی EquationDrug قابلیت اجرا بر روی ویندوزهای جدیدتر از XP/۲۰۰۳ را ندارند و برخی از افزونه‌ها برای اجرا بر روی ویندوزهای ۹۵ ۹۸ و ME طراحی شده‌اند. اگر سیستم آلوده شده، ویندوزهای مدرن‌تر مانند ۷ باشند، حمله کننده از پلفترم‌های TripleFantasy و GrayFish استفاده می‌کند.

این پلتفرم یک تایمر داخلی دارد و در صورتی که برای مدت زمان مشخصی (مانند چندماه) در خواستی از سرور کنترل و فرمان دریافت نکند خود را نابود می‌کند.

اطلاعات سرقت شده توسط این پلتفرم به صورت رمزنگاری شده در قالب یک سری فایل Font ‪(*.FON)‬ در مسیر Windows\Fonts ذخیره سازی می‌شوند.

۳.GrayFish

مدرن‌ترین و پیچیده‌ترین پلتفرم مورد استفاده توسط این گروه است. به گونه‌ای طراحی شده است که حاوی یک مکانیزم پایداری موثر و تقریباً غیرقابل رویت است، فضای ذخیره‌‌سازی مخفی دارد و قابلیت اجرای فرمان‌های دلخواه در ویندوز را داراست. این بدافزار بین سال‌های ۲۰۰۸ تا ۲۰۱۳ توسعه یافته و با تمامی نسخه‌های جدید ویندوز من جمله NT 2000 XP Vista 7 8 در هر دو نسخه ۳۲ بیتی و ۶۴ بیتی سازگار است.

معماری این پتلفرم در شکل زیر ارایه گردیده است:

شکل ۳- معماری بدافزار GrayFish

  • حاوی یک Bootkit بسیار پیچیده است که پیچیده‌ترین و حرفه‌ای‌ترین Bootkit ای است که تا کنون شناخته شده است. وقتی این بدافزار اجرا می‌شود، با تزریق کد در Boot Record سیستم، فرآیند اجرای سیستم عامل را در دست می‌گیرد و در واقع از این به بعد این Grayfish است که سیستم را کنترل می‌کند نه سیستم عامل ویندوز. پس از آنکه Grayfish ویندزو را اجرا کرد، تغییرات مورد نظر خود برای اجرای کد خود در محیط ویندوز را به صورت به لحظه انجام می‌دهد. ماژول‌های این بدافزار در Registry ویندوز ذخیره‌سازی شده‌اند. در صورتی که در هر یک از مراحل اجرای بدافزار مشکلی به وجود آید، بدافزار خود و تمامی مولفه‌هایش را از سیتسم قربانی پاک می‌کند. فرایند بوت Grayfish در شکل زیر ارایه گردیده است.

شکل ۴- فرایند بوت بدافزار GrayFish

اطلاعات دزدیده شده توسط این بدافزار در فایل سیستم مجازی ایجاد شده توسط بدافزار در رجیستری ویندوز ذخیره‌سازی می‌شود.

برای دور زدن مکانیزم‌هایی که مانع از اجرای کد نامطمئن در هسته‌ سیستم عامل‌های مدرن می‌شود، GrayFish چندین درایور مجاز را Exploit می‌کند که یکی از آن‌ها مربوط به نرم‌افزار CloneCD است.

طراحی این بدافزار به گونه ای است تمامی فایل‌های اجرایی و اطلاعات دزدیده شده خود را به صورت رمز شده در رجیستری نگه‌داری می‌کند در نتیجه هیچ فایلی مرتبط با این بدافزار بر روی سیستم آلوده وجود ندارد.

۴.Fanny

کرم تولید شده توسط این گروه در سال ۲۰۰۸ که برای آلوده کردن اهدافی در خاورمیانه و آسیا مورد استفاده قرار گرفته است. این کرم از آسیب‌پذیری‌هایی استفاده می‌کند که بعدا در سال ۲۰۱۰ توسط Stuxnet مورد استفاده قرار گرفت. این کرم همچنین مکانیزمی برای سرقت اطلاعات از سیستم‌هایی که به اینترنت متصل نیستند دارد و از USB برای ارتباطات با چنین سیستم‌هایی استفاده می‌کند.

نحوه آلودگی به بدافزارهای گروه Equation

تکنیک‌های مورد استفاده توسط این گروه برای آلوده ساختن قربانیان عبارتند از:

  • کدهای خود انتشاری (کرم‌ها) مانند Fanny
  • رسانه‌های فیزیکی مانند CD
  • حافظه‌های USB + استفاده از نقاط آسیب‌پذیری
  • استفاده از آسیب‌پذیری‌های تحت وب

پیچیده‌ترین مورد در رابطه با گروه Equation

هرچند که پیچیدگی پیاده‌سازی بدافزارها توسط این گروه بسیار زیاد بوده و حتی از بدافزارهایی مانند Regin نیز بیشتر می‌باشد، اما پیچیده‌ترین مورد در رابطه با بدافزارهای این گروه که تا کنون سابقه نداشته است این است که این بدافزار امکان آلوده‌سازی میان افزار (Firmware) دیسک‌های سخت (Hard Drive) را داراست. این بدافزار مولفه‌ای دارد که می‌تواند میان افزار دیسک‌های سخت را آلوده کند که از این کار دو هدف اصلی را دنبال می‌کند:

  • مکانیزم پایداری بسیار قوی که حتی فرمت کردن دیسک و نصب مجدد سیستم عامل نیز قادر به پاکسازی بدافزار نیست.
  • یک فضای ذخیره‌سازی پایدار و مخفی بر روی دیسک سخت ایجاد می‌کند.

هارد دیسک‌هایی که این بدافزار قادر به آلودگی میان‌افزار آن‌هاست عبارتند از:

  • Western Digital Technologies Inc
  • Seagate Technology
  • SAMSUNG ELECTRONICS CO.‎, LTD
  • “IC”, “IBM”, “Hitachi”, “HTS”, “HTE”, “HDS”, “HDT”, “ExcelStor”
  • MICRON TECHNOLOGY, INC
  • TOSHIBA CORPORATION
  • “OCZ”, “OWC”, “Corsair”, “Mushkin”

میزان آلودگی به بدافزارهای این گروه

شکل زیر میزان و نوع آلودگی نقاط مختلف دنیا به بدافزارهای این گروه را نشان می‌دهد.

شکل ۵- نقشه میزان آلودگی به بدافزارهای گروه Equation

همان‌طور که مشاهده می‌شود، ایران از نظر تعداد و نوع آلودگی‌ها در صدر قرار دارد و سیستم‌هایی از بخش‌های مختلف کشورمان از جمله:

  • بخش اقتصادی
  • آکادمیک
  • نظامی
  • هوافضا
  • موسسات تحقیقاتی
  • دولتی
  • دیپلماتیک
  • انرژی
  • سایر

به این بدافزارها آلوده بوده و احتمالاً هنوز نیز هستند. همچنین شواهد از احتمال آلودگی سایر سیستم عامل‌ها از جمله Mac OS X و Apple IOS به این بدافزار حکایت دارد.

راه‌کار موقت برای جلوگیری از آلودگی توسط این بدافزارها

در سطح شبکه

  1. مسدود کردن دسترسی به آدرس‌های آی‌پی زیر:
  • ۱۴۹.۱۲.۷۱.۲
  • ۱۹۰.۲۴۲.۹۶.۲۱۲
  • ۱۹۰.۶۰.۲۰۲.۴
  • ۱۹۵.۱۲۸.۲۳۵.۲۲۷
  • ۱۹۵.۱۲۸.۲۳۵.۲۳۱
  • ۱۹۵.۱۲۸.۲۳۵.۲۳۳
  • ۱۹۵.۱۲۸.۲۳۵.۲۳۵
  • ۱۹۵.۸۱.۳۴.۶۷
  • ۲۰۲.۹۵.۸۴.۳۳
  • ۲۰۳.۱۵۰.۲۳۱.۴۹
  • ۲۰۳.۱۵۰.۲۳۱.۷۳
  • ۲۱۰.۸۱.۵۲.۱۲۰
  • ۲۱۲.۶۱.۵۴.۲۳۹
  • ۴۱.۲۲۲.۳۵.۷۰
  • ۶۲.۲۱۶.۱۵۲.۶۷
  • ۶۴.۷۶.۸۲.۵۲
  • ۸۰.۷۷.۴.۳
  • ۸۱.۳۱.۳۴.۱۷۵
  • ۸۱.۳۱.۳۶.۱۷۴
  • ۸۱.۳۱.۳۸.۱۶۳
  • ۸۱.۳۱.۳۸.۱۶۶
  • ۸۴.۲۳۳.۲۰۵.۹۹
  • ۸۵.۱۱۲.۱.۸۳
  • ۸۷.۲۵۵.۳۸.۲
  • ۸۹.۱۸.۱۷۷.۳

  1. مسدود کردن دسترسی به دامنه‌های زیر:
  • advancing-technology.com
  • avidnewssource.com
  • businessdealsblog.com
  • businessedgeadvance.com
  • charging-technology.com
  • computertechanalysis.com
  • config.getmyip.com
  • globalnetworkanalys.com
  • melding-technology.com
  • myhousetechnews.com
  • newsterminalvelocity.com
  • selective-business.com
  • slayinglance.com
  • successful-marketing-now.com
  • taking-technology.com
  • techasiamusicsvr.com
  • technicaldigitalreporting.com
  • timelywebsitehostesses.com
  • dt1blog.com
  • forboringbusinesses.com
  • gar-tech.com
  • webuysupplystore.mooo.com
  • newjunk4u.com
  • easyadvertonline.com
  • newip427.changeip.net
  • ad-servicestats.net
  • subad-server.com
  • ad-noise.net
  • ad-void.com
  • aynachatsrv.com
  • damavandkuh.com
  • fnlpic.com
  • monster-ads.net
  • nowruzbakher.com
  • sherkhundi.com
  • quik-serv.com
  • nickleplatedads.com
  • arabtechmessenger.net
  • amazinggreentechshop.com
  • foroushi.net
  • technicserv.com
  • goldadpremium.com
  • honarkhaneh.net
  • parskabab.com
  • technicupdate.com
  • technicads.com
  • customerscreensavers.com
  • darakht.com
  • ghalibaft.com
  • adservicestats.com
  • ۲۴۷adbiz.net
  • webbizwild.com
  • roshanavar.com
  • afkarehroshan.com
  • thesuperdeliciousnews.com
  • adsbizsimple.com
  • goodbizez.com
  • meevehdar.com
  • xlivehost.com
  • gar-tech.com
  • downloadmpplayer.com
  • honarkhabar.com
  • techsupportpwr.com
  • webbizwild.com
  • zhalehziba.com
  • serv-load.com
  • wangluoruanjian.com
  • islamicmarketing.net
  • noticiasftpsrv.com
  • coffeehausblog.com
  • platads.com
  • havakhosh.com
  • toofanshadid.com
  • bazandegan.com
  • sherkatkonandeh.com
  • mashinkhabar.com
  • quickupdateserv.com
  • rapidlyserv.com

پیشنهاد

مرکز تخصصی آپا دانشگاه صنعتی اصفهان، فایل نمونه تمامی بدافزارهای ارایه شده در این گزارش را در اختیار دارد و در حال حاضر در حال تحلیل آن‌هاست. همچنین این مرکز آمادگی دارد که به آلودگی‌های گزارش شده از این بدافزار در اسرع وقت پاسخ دهد.