Najkompleksniji virusi ikada

Ozbiljne sajber pretnje ne može da kreira bilo ko

Nekada davno, računarski virusi su bili dosta jednostavne tvorevine. Produkti briljantnih i ujedno bolesnih umova bili su sredstvo za lično dokazivanje. U vreme flopi disketa, širenje je bilo dosta ograničeno, a ipak efikasno. Dolaskom interneta i USB memorija, njihova zaraznost je veoma porasla. No, ujedno su autori virusa i srodnih pošasti počeli da budu mnogo poslovniji.

Još pamtim jednu zarazu koja je napravila dar-mar (prvenstveno) u Izraelu. Nakon istrage i hapšenja grupe tinejdžera došlo se do istine o celom slučaju. Dve grupe hakera su se nadmetale čiji će program da pobedi u međusobnom programerskom okršaju. No, greškom se program oteo kontroli i izazvao opštu paniku.

To je bilo davno. Od tada su razne pošasti počeli da kreiraju ne pojedinci, već organizovane grupe koje su kao krajnji cilj imale zaradu. Direktno dobijajući novac od vlasnika zaraženih računara, koristeći zaražene računare za slanje spam poruka ili kradući brojeve bankovnih računa i šifre ili brojeve kreditnih kartica...

S vremena na vreme, u moru sličnih bilo je i veoma zanimljivih kreacija. Sve te inovativne kreacije, međutim, zasenio je stuxnet svojom kompleksnošću i veličinom koda. Ubrzo smo saznali da su njega napravili SAD i Izrael da bi usporili nuklearni razvoj Irana. Tada je postalo sasvim jasno da se sajber rat zaista vodi, i to daleko od očiju javnosti. Sajber rat ili ekonomski rat? U društvenim naukama poznata je misao Karla fon Kluzevića: „Rat nije ništa drugo do politika produžena drugim sredstvima”. Poznato je da su politika i ekonomija dve usko povezane stvari pa su tako i sajber pretnje negde između direktnog rata i krađe ekonomskog i naučnog znanja.

Da skratim sa teorijom i pređem na konkretan primer. Danas, kada se vodi novi hladni rat između SAD i Rusije sa oružanim sukobom u Ukrajini, nije slučajno da ruska bezbednosna kompanija Kaspersky objavi izveštaj (goo.gl/9ZEYUZ) o najboljoj ikad organizovanoj sajber grupi za koju neki drugi izvori tvrde da ima bliske veze sa NSA. Da li vas čudi da ova grupa postoji od 2001. godine?

The Equation Group

Istraživači Kasperskog za grupu kojoj su dali ime The Equation Group kažu da je jedinstvena u gotovo svakom aspektu svog delovanja. Ona koristi alatke koje su veoma komplikovane i skupe za razvoj, sa ciljem da zaraze žrtvu, preuzmu podatke i prikriju svoje aktivnosti. Pri tome su zadivljujuće profesionalni i koriste klasične špijunske tehnike da ubace žrtvama svoj maliciozni kod.

Istraživači su grupi dali ovakvo ime zato što obilno koristi enkripciju u svojim modulima sa specifičnom implementacijom RC5 algoritma. No, grupa u novijim modulima koristi i RC4, RC6 i AES algoritme.

Da bi zarazila svoje ciljane žrtve grupa koristi moćni arsenal trojanaca. Deo njih su istraživači iz Kasperskog identifikovali i dodelili im nazive: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny i GrayFish.

Šta to čini ovu grupu tako jedinstvenom? Prema istraživačima to su tri stvari: ultimativna prisutnost i nevidljivost, mogućnost krađe informacija sa izolovanih mreža koje nisu povezane ne internet i klasične špijunske metode da bi zarazili žrtvu svojim kodom.

Istraživači su detektovali dva modula koja su sposobna da reprogramiraju firmver hard-diskova! I to gotovo svih marki prisutnih na tržištu (pominje se više od dvanaest proizvođača). Modifikovanjem operativnog sistema diskova postigli su potpunu nevidljivost jer, iako je moguće upisivati novi firmware, ne postoji mogućnost njegovog čitanja pa je nemoguće otkriti prisustvo njihovog kôda. Ujedno, kôd preživljava reinstaliranje operativnog sistema kao i formatiranje diska!

Kroz tako skriveni kôd, grupa kreira sakrivenu oblast na disku gde stavlja prikupljene podatke da bi ih kasnije drugim metodama poslala. A s obzirom na to da je kod aktivan po samom uključenju računara u nekim slučajevima pomaže grupi da pokupi lozinku kod enkriptovanih hard-diskova i tako zaobiđe ovaj inače efikasan vid zaštite.

Osnovu za krađu podataka sa izolovanih mreža predstavlja crv Fanny. On radi uz pomoć USB diskova na kojima kreira skriveno područje gde smešta komande i podatke. Osnovna funkcija mu je da mapira topologiju izolovanih mreža i izvršava zadate komande (koje grupa želi). Sve prikupljene podatke šalje mreži servera kada se ubaci u računar koji je povezan na internet.

Već dva puta smo spomenuli da grupa koristi i standardne špijunske metode da bi zarazila žrtvu. Zabeležen je slučaj da je nakon jedne naučne konferencije koja je održana 2009. godine u Hjustonu, učesnicima je poštom poslat CD sa materijalom i slikama sa konferencije. U stvari, tim CD-om su računari učesnika zaraženi sa DoubleFantasy kodom Equation grupe.

Grupa koristi moćnu infrastrukturu za prikupljanje informacija. U pitanju je preko 300 domena i više od 100 servera. Serveri se nalaze u više zemalja uključujući SAD, Englesku, Italiju, Nemačku, Holandiju, Panamu, Kostariku, Maleziju, Kolumbiju i Češku. Kaspersky je uspeo da neutrališe nekoliko desetina tih domena.

Zanimljivo je da grupa u svakom trenutku raspolaže arsenalom od desetak načina da zarazi žrtvu. No, broj pokušaja da se zarazi žrtva, ukoliko su neuspešni, ne prelazi tri. Većina ovih trojanaca bazirana je na propustima u sistemima koji nisu poznati javnosti ni proizvođaču operativnog sistema (zero-day exploit). Da nisu u pitanju slučajna otkrića govori i podatak o njihovoj povezanosti sa Stuxnet, Duqu i Flame. Naime, dva propusta koje je Equation grupa koristila 2008. godine u modulu Fanny, Stuxnet je koristio juna 2009. i marta 2010. godine. Zapravo, Stuxnet je koristio i čitav Flame modul inkorporiran u svoj kod.

Prema procenama Kasperskog od 2001. godine Equation grupa je zarazila hiljade, a možda i desetine hiljada žrtvi. Posebno su se fokusirali na vlade i diplomatske institucije, telekomunikacije, svemirska istraživanja, energetiku, nuklearna istraživanja, vojsku, nanotehnologije, islamske aktiviste i škole, masmedije, transport, finansijske institucije i kompanije koje razvijaju tehnologije enkripcije.

Raspodela napada je na preko 30 zemalja: Iran, Rusija, Sirija, Avganistan, Kazahstan, Belgija, Somalija, Hong Kong, Libija, UAE, Irak, Nigerija, Ekvador, Meksiko, Malezija, SAD, Sudan, Liban, Palestina, Francuska, Nemačka, Singapur, Katar, Pakistan, Jemen, Mali, Švajcarska, Bangladeš, Južnoafrička republika, Filipini, Engleska, Indija i Brazil.

Kasperski je obrađivao sedam propusta koje je ova grupa koristila. Bar četiri od njih su korišćena kao zero-day propusti. Kako Kasperski već niz godina prati aktivnosti ove grupe, imao je uspeha i u blokiranju nekih modula delimično zahvaljujući njegovoj Automatic Exploit Prevention tehnologiji. Tako je Fanny crv detektovan krajem 2008. godine.

Hajde sada da rezimiramo stvari. Da li je Equation grupa zaista grupa sajber stručnjaka ili neka specijalna jedinica pri nekoj američkoj agenciji? Previše je tragova i veza koje vode do SAD i možda bas NSA. Sa druge strane, Kasperski je baš sada izabrao trenutak da obelodani sve informacije i objavljuje detalje svakodnevno na svom blogu (securelist.com/blog) poput feljtona u dnevnim novinama. Da nije možda g. Snouden nešto pripomogao ili je sve ipak samo birani trenutak u novom Hladnom ratu? To će vreme pokazati a nemojte se začuditi ako uskoro bude obelodanjeno nešto još veće, još neverovatnije.

Dušan DINGARAC