کسپراسکی شرکت روسی فعال در زمینه آنتیویروس و حملات سایبری روز دوشنبه یک برنامه جاسوسی سطح بالای سایبری را کشف کرده که طی چند سال اخیر برای کشورهای ایران و روسیه در جریان بوده است، بر اساس گزارشات، گروهی به نام Equation از سال ۲۰۰۸ با ابزاری هایی شبیه NSA جاسوسیهای زیادی را به روش آلودهسازی سختافزاری انجام دادهاند که به راحتی قابل تشخیص و پاکسازی نیست.
کسپراسکی مسئولیت ایجاد این بدافزار را به گروه Equation منسوب کرده که ارتباط نزدیکی با آژانس امنیت ملی آمریکا (NSA) دارد. ابزارها، اکسپلویت ها و بد افزارهایی که این گروه استفاده می کند (بعد از میل شدید خود را برای رمزگذاری نام) شباهت بسیاری با تکنیک های NSA که در اسناد فوق سری منتشر شده در 2013 بود دارد.
Equation از سال ۱۹۹۶ فعالیت خود را آغاز کرد و از سال ۲۰۰۸ فعالیت خود را افزایش داد. در این راستا نیز ابزارهای جاسوسی فوقالعادهای را تولید کرده که کسپراسکی این ابزارها را با نامهای Equationdrug، Doublefantasy، Triplefantasy، Grayfish، Fanny و Equationlaser شناسایی کرده است. این ابزارها توانایی این را دارند که سیستمهای ویندوزی دارای فلش مموریها و حتی فریمورها را آلوده کنند.
چگونگی آلودگی
در عملیات اخیر توسط ابزارهای Equationdrug و Grayfish که Equation از آنها برای بازنویسی دیسکهای سخت تولیدی کمپانیهای مکستر، سیگیت، وسترن دیجیتال و سامسونگ استفاده میکرد ابزارهای جاسوسی بر روی این هارد دیسک ها نصب کرده است. طبق گزارش کسپراسکی، کامپیوترهای بیش از 30 کشور دنیا در این عملیات مورد حمله قرار گرفتند ایران، روسیه، پاکستان، افغانستان، هند و چین و حتی فرانسه و سوئیس و بریتانیا بودند. سازمان هایی که در این کشورها دنبال شده بود نظامی، مخابراتی، دولتی، سفارت ها و مراکز تحقیقاتی اند.
مهمترین یافته کسپراسکی در توانایی Equation قابلیت آلوده کردن فریم ور یک هارد دیسک یا یک کد سطح پایین است که مابین نرم افزار و سخت افزار کار می کند. این بدافزار فریم ور هارد دیسک را دوباره بازنویسی می کند و سکتورهای مخفی ای را ایجاد می کند که دسترسی به آنها تنها از طریق یک رابط کاربری مخفی امکان پذیر است. بعد از نصب آن این بدافزار حذف آن تقریباً غیر ممکن است، با فرمت کردن هارد یا نصب دوباره سیستم عامل بازهم سکتورهای مخفی باقی خواهند ماند.
کاستین راجو، میر تحقیقات و آنالیز جهانی کسپراسکی می گوید:
به صورت تئوری، ما از امکان پذیر بودن آن آگاهی داشتیم، اما آنچه که می دانم این است که تنها موردی است که دیده شده مهاجم چنین قابلیت فوق العاده پیشرفته ای داشته باشد.

این هارد دیسک ها که توسط شرکت هایی نظیر سیگیت، وسترن دیجیتال، هیتاچی، سامسونگ و توشیبا ساخته شده اند و با استفاده از ابزارهای Equationdrug و Grayfish اقدام به آلوده کردن آنها کرده اند و به نظر می رسد دانش این گروه بسیار بیشتر از اسناد عمومی است که توسط سازندگان ارائه می شود، آنها در مورد دستورات یکتای ATA که توسط سازنندگان برای فرمت محصولات بکار می رفته هم می دانند. اغلب دستورات ATA عمومی اند چرا که به صورت یک استاندارد ارائه شده تا هارد دیسک ها با همه دستگاه ها سازگار باشد. اما این دستورات عمومی نبوده و فقط توسط سازندگان برای کاربردهای خاص نظیر رفع خطا، حافظه داخلی و … استفاده می شد.به نظر می رسد که این گروه بسیار جلوتر از سازمان های امنیتی عمل می کنند. تقریباً شناسایی دستکاری آنها غیرممکن است چرا که آنها هارد دیسک ها را به طور کامل فلش کردند و یا جایگزینی فریم ور خود از خطا و شکست محفوظ است چرا که برخی از ماژول ها در بعضی از فریم ورها ماندگارند و امکان فرمت کردن آنها وجود ندارد و با توجه به ارزش بالای این حفره امنیتی، Equation کاملاً دلخواه در هدف های خودش مستقر شده است.
بد افزار Fanny
کشف دیگر کسپراسکی Fanny بود، کرمی که در سال 2008 ساخته شده بود و کشورهای خاورمیانه و آسیایی را هدف قرار داده بود.
برای اینکه کامپیوترها را آلوده کند از حفره روز صفر استفاده شده بود (اصطلاحی برای یک حمله نرم افزاری با استفاده از آسیب پذیری نرم افزار ناشناخته) که بعدها نیز استاکس نت از همان حفره برای حمله استفاده کرد. یک کرم ویندوزی که برای خرابکاری در عملیات غنی سازی اورانیوم ایران استفاده شد و تصور میشود که این یک پروژه مشترک بین آمریکا و اسرائیل بود.
استفاده از حفره روز صفر برای هر دو نمی تواند یک تصادف باشد، کسپراسکی می گوید که استفاده مشابه از آسیب پذیری بدان معنی است که گروه Equation و توسعه دهندگان استاکس نت یکسانند با یکدیگر کار می کنند.
استاکس نت و فنی، طراحی شده بودند برای نفوذ به شبکه های امن داخلی یا سیستم هایی که از اینترنت ایزوله بودند. در واقع آنها برای اهداف سازمانی طراحی شده بودند چرا که دسترسی به اینترنت در سازمان هایی نظیر انرژی اتمی محدود یا مسدود است اما Fanny با خود انتشاری رو وسایل قابل حمل نظیر فلش مموری خود را از طریق باقی کامپیوترهای خارج از هدف به اینترنت می رساند تا اطلاعات جمع آوری شده را ارسال کند.
مرد میانی
Equation همچنین تکنیک های «ممانعتی» (interdiction) را بکار بردند که شبیه استفاده NSA در رساندن نرم افزارهای آلوده به اهدافش بود.
کسپراسکی توضیح داد که چگونه برخی از شرکت کنندگان یک کنفرانس علمی در هوستون بعد از برگزاری یک CD حاوی محتوای کنفرانس را دریافت کردند. CD شامل دو حفره امنیتی روز صفر و روز صفر و یک بد افزار به ندرت دیده شده به نام مستعار Doublefantasy بود. این مسئله که چگونه CD ها دستکاری یا جایگزین شده بود نامشخص ماند. و کسپراسکی می گوید ما اعتقادی نداریم که برگزارکنندگان کنفرانس چنین هدفی داشتند اما اضافه کردن بدافزار بر روی CD نمی تواند اتفاقی باشد.
در دی ماه 92 در خلال مدارک فوق سری منتشر شده توسط ادوارد اسنودن که در اشپیگل نوشته شده بود گفته شد که دفتر عملیات دسترسی NSA معروف به TAO در متوقف کردن تحویل تجهیزات کامپیوتری جدید که یکی از روش های موفق ترین ضربه زدن به کامپیوتر است تخصص دارد.
جالب است بدانید ابزارهایی که این گروه استفاده می کند:
- EquationDrug: پلتفرم حمله بسیار پیچیده که برای حمله به قربانیان مورد استفاده قرار میگیرد. این پتلفرم از یک مکانیزم Plugin استفاده میکند که میتواند به صورت پویا بارگذاری و باربرداری گردد.
- DoubleFantasy: یک تروجان تایید کننده. این مولفه وظیفه دارد که تشخیص دهد آیا سیستم آلوده شده همان هدف از پیش مشخص شده است یا خیر. اگر تایید با موفقیت انجام گیرد، سیستم قربانی به یک پلتفرم قویتر مانند EquationDrug یا GrayFish به روز رسانی میشود.
- Equestre: مانند EquationDrugTripleFantasy: Backdoor با قابلیتهای بسیار که همراه با Grayfish مورد استفاده قرار میگیرد. احتمالاً یک نسخه به روز رسانی شده از DoubleFantasy است.
- GrayFish: پیچیدهترین پتلفرم حمله مورد استفاده توسط گروه Equation. تمامی مولفههای این پلتفرم در رجیستری قرار دارند و از یک Bootkit برای اجرا در حین بوت سیستم عامل استفاده میکند.
- Fanny: کرم تولید شده در سال ۲۰۰۸ که برای جمعآوری اطلاعات از اهدافی در خاورمیانه و آسیا مورد استفاده قرار گرفته است. سیستمهای آلوده شده به این بدافزار بعداً با DoubleFantasy و EquationDrug به روز رسانی شدهاند. این بدافزار از آسیبپذیریهایی استفاده میکند که بعداً در سال ۲۰۱۰ توسط استاکسنت مورد استفاده قرار گرفت.
- EuqationLaser: یک تروجان اولیه از گروه Equation که در بین سالهای ۲۰۰۱ تا ۲۰۰۴ مورد استفاده قرار میگرفته است. با ویندوزهای ۹۵ و ۹۸ سازگار است
Equation به بیش از 300 دامنه متصل است که قدیمی ترین آن در 1996 ثبت شده و بعضی از آنها منقضی شده و کسپراسکی حدود 20 دامنه از آنها را ثبت کرده است. بسیاری از این دامنه ها در حاضر دیگر استفاده نمی شود اما سه تا از آنها همچنان فعالند و ما نمی دانیم کدام بدافزار از آنها استفاده می کنند اما در کل فعالیت های آن، سرنخ زیادی را ارائه نمی کند چرا که این گروه تاکتیک های خود را در اواخر سال 2013 عوض کرد.
مطلب جالبی بود.
ضمنا فیرمویر(firmware) درست است نه فریمور(frameware).
متشکر
لی خدا نعلت کنه این گروه Equation را
پس بگو چرا هر کاری می کنم هاردم فرمت نمیشه
از همون اول می دونستم ویروس واردش کردند
مگه اینکه دستم بهشون نرسه
حالا شما تند نرو اخوی. هارد خیلی هم خوب فرمت می شود، اما ویروس از بین نمی رود. دلیل فرمت نشدن هارد ویروس نیست. وانگهی چه گتری به کامپیوتر من شما دارند؟!