Alfonso Maruccia

Equation Group, l'anticristo della sicurezza informatica

Kaspersky Lab rivela l'esistenza di un nuovo attacco informatico, la più complessa operazione di infezione e spionaggio mai vista. Tutte le prove sembrano suggerire un collegamento diretto con la americana NSA

Roma - Il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha identificato una minaccia informatica senza precedenti, un "mostro" classificato come Equation Group in grado di fare praticamente tutto, online e offline. Equation Group potrebbe essere una creatura dell'intelligence americana, ma in epoca post-Datagate la cosa non stupisce neanche un po'.

I cracker "onnipotenti" di Equation Group sono attivi da almeno 14 anni, sostengono gli analisti di Kaspersky, un periodo di tempo che fa dell'attacco il vero "padre" di tutti i super-malware identificati negli anni passati come Stuxnet, Flame e Duqu.

La security enterprise moscovita ha identificato almeno 500 infezioni certe di Equation Group in almeno 42 nazioni, tutti paesi presenti nella lista nera dei "cyber-avversari" degli USA come Iran, Russia, Pakistan, Siria e altri. In detti paesi, gli attaccanti hanno infettato e compromesso istituzioni governative e diplomatiche, società di telefonia, utility energetiche, industrie aerospaziali, aziende di nanotecnologia, organizzazioni militari e via elencando.
Particolarmente complessa e innovativa la lista delle capacità di Equation Group, un "arsenale" che secondo Kaspersky include l'uso di un file system virtuale (sin qui visto solo nel supermalware Regin), l'uso del Registro di Windows per salvare i file malevoli, compromissione di sistemi Microsoft e Apple (Mac OS X, iOS), l'uso di più di 300 nomi di dominio e 100 server per il centro di comando e controllo, stick USB (altro che BadUSB) per compromettere i sistemi non connessi ad alcuna rete telematica, la capacità "inusuale" di bypassare le restrizioni alla firma digitale dei componenti eseguibili sulle moderne versioni di Windows.

Kaspersky sottolinea in particolare la pericolosità di una tecnica specifica di Equation Group, vale a dire la sua capacità di infettare, riscrivendo, il firmware interno degli hard disk prodotti dai tutti i nomi noti del settore come Western Digital, Seagate, Maxtor, Toshiba, Hitachi e altri. L'infezione del firmware di un HDD, sin qui materia di presentazioni a effetto e rischi solo teorici, rende di fatto i malware di Equation Group "invisibili" a qualsiasi tecnologia di protezione, di sicurezza o antivirale. I componenti malevoli della minaccia sono inoltre dotati di meccanismi di autodistruzione, e hanno in tal modo agito indisturbati per tutti questi anni senza allarmare nessuno.

Chi ha scritto il complesso e sofisticato "toolkit" malevolo di Equation Group? Kaspersky non chiama mai direttamente in causa la NSA, ma fornisce tutte le prove necessarie a collegare la minaccia informatica alla famigerata intelligence del Datagate e dello spionaggio mondiale: Equation Group ha fatto uso di vulnerabilità ed exploit ignoti, anni e anni prima di rivedere quelle stesse vulnerabilità sfruttate da altri malware famosi come Stuxnet, e si è servito di tecniche di infezione da spy-story (come quella della riscrittura del firmware degli HDD) già note per essere state citate come parte integrante dell'arsenale della NSA nelle rivelazioni di Edward Snowden. Tutto torna, e NSA si è guardata bene dal commentare le rivelazioni di Kaspersky.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSchegge di Cassandra/ OHM2013: l'hard disk vi guardadi M. Calamari - L'hack di Sprite_TM dimostra come sia possibile accedere a porzioni inesplorate degli hard disk. E riporvi codice di ogni tipo, all'insaputa dell'utente, per gli scopi più terribili
  • AttualitàNSA, ogni bug è pertugioInnovazione e tradizione nelle pratiche dell'intelligence: fanno parte delle strategie pacchi postali intercettati prima di essere consegnati, hardware e software da inoculare nelle macchine dei bersagli. Ma anche la raccolta dei metadati resta d'importanza vitale
  • SicurezzaRegin, il super-malware per lo spionaggioSymantec svela l'esistenza di un trojan estremamente complesso, con un meccanismo di funzionamento multi-stadio ed evidentemente pensato per campagne di infezione mirate. Chi l'ha scritto? E chi l'ha commissionato?
  • SicurezzaUSBdriveby, il figlio di BadUSB per attaccare OS XCon una spesa modica è possibile procurarsi un dispositivo in grado di compromettere un sistema operativo per computer, nel caso specifico Mac OS X. La vulnerabilità alla base dell'attacco è quella già nota da tempo
159 Commenti alla Notizia Equation Group, l'anticristo della sicurezza informatica
Ordina
  • http://www.osnews.com/story/28327/The_great_SIM_he...

    American and British spies hacked into the internal computer network of the largest manufacturer of SIM cards in the world, stealing encryption keys used to protect the privacy of cellphone communications across the globe, according to top-secret documents provided to The Intercept by National Security Agency whistleblower Edward Snowden...
    non+autenticato
  • Questo perchè l'unica informazione sicura è quella che non dici (anzi, che non sai), l'unico PC sicuro è quello spento (anzi, nemmeno costruito).

    Tutto il resto è modificabile, piegabile alle volontà o necessità (o paranoie) altrui.
    883
  • Personalmente, piuttosto che fare un lavoro dall'esito incerto come quello citato nell'articolo, attaccherei il firmware dei Router: sono loro di fatto che restano sempre accesi e connessi alla rete e se ne fregano del device connesso, iOS, windows, linux, il frigorifero, ecc...
    non+autenticato
  • ...il trasporto, invio e ricezione dei dati, lo fanno i Router, il TCP-IP è solo uno dei tanti protocolli di comunicazione, null'altro.
    non+autenticato
  • - Scritto da: Kop
    > Personalmente, piuttosto che fare un lavoro
    > dall'esito incerto come quello citato
    > nell'articolo, attaccherei il firmware dei
    > Router
    un microfono su un router sarebbe strano, no?
    non+autenticato
  • - Scritto da: Kop
    > Personalmente, piuttosto che fare un lavoro
    > dall'esito incerto come quello citato
    > nell'articolo, attaccherei il firmware dei
    > Router

    nessuno ha detto che NON sono stati attaccati ANCHE loro.

    > sono loro di fatto che restano sempre
    > accesi e connessi alla rete e se ne fregano del
    > device connesso, iOS, windows, linux, il
    > frigorifero,
    > ecc...

    E quando vedono passare il traffico https (che è quello che conta) prendono qualche frammento della connessione cifrata e se lo giocano al lotto?
    Il malaware in locale serve per i file privati che nessuno spedisce, per catturare credenziali e per mille altre cose che nessun router può fare.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Kop
    > > Personalmente, piuttosto che fare un lavoro
    > > dall'esito incerto come quello citato
    > > nell'articolo, attaccherei il firmware dei
    > > Router
    >
    > nessuno ha detto che NON sono stati attaccati
    > ANCHE
    > loro.
    >
    > > sono loro di fatto che restano sempre
    > > accesi e connessi alla rete e se ne fregano
    > del
    > > device connesso, iOS, windows, linux, il
    > > frigorifero,
    > > ecc...
    >
    > E quando vedono passare il traffico https (che è
    > quello che conta) prendono qualche frammento
    > della connessione cifrata e se lo giocano al
    > lotto?
    > Il malaware in locale serve per i file privati
    > che nessuno spedisce, per catturare credenziali e
    > per mille altre cose che nessun router può
    > fare.

    Files privati ? Allora non capisci proprio eh ? Nulla è privato.

    Riguardo al microfono cosa vuoi sentirti dire? Per caso che registra audio e lo spedisce chi sa dove...no dai non diciamo cacate!
    non+autenticato
  • - Scritto da: Kop
    > - Scritto da: ...
    > > - Scritto da: Kop
    > > > Personalmente, piuttosto che fare un lavoro
    > > > dall'esito incerto come quello citato
    > > > nell'articolo, attaccherei il firmware dei
    > > > Router
    > >
    > > nessuno ha detto che NON sono stati attaccati
    > > ANCHE
    > > loro.
    > >
    > > > sono loro di fatto che restano sempre
    > > > accesi e connessi alla rete e se ne fregano
    > > del
    > > > device connesso, iOS, windows, linux, il
    > > > frigorifero,
    > > > ecc...
    > >
    > > E quando vedono passare il traffico https (che è
    > > quello che conta) prendono qualche frammento
    > > della connessione cifrata e se lo giocano al
    > > lotto?
    > > Il malaware in locale serve per i file privati
    > > che nessuno spedisce, per catturare credenziali
    > e
    > > per mille altre cose che nessun router può
    > > fare.
    >
    > Files privati ? Allora non capisci proprio eh ?
    > Nulla è
    > privato.
    >
    > Riguardo al microfono cosa vuoi sentirti dire?
    > Per caso che registra audio e lo spedisce chi sa
    > dove...no dai non diciamo
    > cacate!
    E non dirle, però non davanti al pc non si sa maiA bocca aperta
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: Kop
    > > - Scritto da: ...
    > > > - Scritto da: Kop
    > > > > Personalmente, piuttosto che fare
    > un
    > lavoro
    > > > > dall'esito incerto come quello
    > citato
    > > > > nell'articolo, attaccherei il
    > firmware
    > dei
    > > > > Router
    > > >
    > > > nessuno ha detto che NON sono stati
    > attaccati
    > > > ANCHE
    > > > loro.
    > > >
    > > > > sono loro di fatto che restano
    > sempre
    > > > > accesi e connessi alla rete e se
    > ne
    > fregano
    > > > del
    > > > > device connesso, iOS, windows,
    > linux,
    > il
    > > > > frigorifero,
    > > > > ecc...
    > > >
    > > > E quando vedono passare il traffico
    > https (che
    > è
    > > > quello che conta) prendono qualche
    > frammento
    > > > della connessione cifrata e se lo
    > giocano
    > al
    > > > lotto?
    > > > Il malaware in locale serve per i file
    > privati
    > > > che nessuno spedisce, per catturare
    > credenziali
    > > e
    > > > per mille altre cose che nessun router
    > può
    > > > fare.
    > >
    > > Files privati ? Allora non capisci proprio
    > eh
    > ?
    > > Nulla è
    > > privato.
    > >
    > > Riguardo al microfono cosa vuoi sentirti
    > dire?
    > > Per caso che registra audio e lo spedisce
    > chi
    > sa
    > > dove...no dai non diciamo
    > > cacate!
    > E non dirle, però non davanti al pc non si sa mai
    >A bocca aperta

    Davanti al PC o davanti al Router ?A bocca aperta:D
    non+autenticato
  • - Scritto da: Kop
    > - Scritto da: Hop
    > > - Scritto da: Kop
    > > > - Scritto da: ...
    > > > > - Scritto da: Kop
    > > > > > Personalmente, piuttosto che fare
    > > un
    > > lavoro
    > > > > > dall'esito incerto come quello
    > > citato
    > > > > > nell'articolo, attaccherei il
    > > firmware
    > > dei
    > > > > > Router
    > > > >
    > > > > nessuno ha detto che NON sono stati
    > > attaccati
    > > > > ANCHE
    > > > > loro.
    > > > >
    > > > > > sono loro di fatto che restano
    > > sempre
    > > > > > accesi e connessi alla rete e se
    > > ne
    > > fregano
    > > > > del
    > > > > > device connesso, iOS, windows,
    > > linux,
    > > il
    > > > > > frigorifero,
    > > > > > ecc...
    > > > >
    > > > > E quando vedono passare il traffico
    > > https (che
    > > è
    > > > > quello che conta) prendono qualche
    > > frammento
    > > > > della connessione cifrata e se lo
    > > giocano
    > > al
    > > > > lotto?
    > > > > Il malaware in locale serve per i file
    > > privati
    > > > > che nessuno spedisce, per catturare
    > > credenziali
    > > > e
    > > > > per mille altre cose che nessun router
    > > può
    > > > > fare.
    > > >
    > > > Files privati ? Allora non capisci proprio
    > > eh
    > > ?
    > > > Nulla è
    > > > privato.
    > > >
    > > > Riguardo al microfono cosa vuoi sentirti
    > > dire?
    > > > Per caso che registra audio e lo spedisce
    > > chi
    > > sa
    > > > dove...no dai non diciamo
    > > > cacate!
    > > E non dirle, però non davanti al pc non si sa
    > mai
    > >A bocca aperta
    >
    > Davanti al PC o davanti al Router ?A bocca aperta:D
    http://giacomo-marinelli.blogspot.com/2010/11/taci...
    non+autenticato
  • - Scritto da: Kop

    > Files privati ? Allora non capisci proprio eh ?
    > Nulla è
    > privato.


    Stai pietosamente cambiando discorso.
    E sei nuovamente in torto perlatro.
    Chiudo qui.
    non+autenticato
  • Avete scoperto il sistema operativo iOS.. ( ora giunto alla versione 8.0fuck )

    :(
    non+autenticato
  • - Scritto da: Linux Too Mainstream
    > Avete scoperto il sistema operativo iOS.. ( ora
    > giunto alla versione 8.0fuck
    > )
    >
    >Triste

    8.1.3
    Prozac
    5040
  • compromissione di sistemi Microsoft e Apple (Mac OS X, iOS),

    ... e ... e Linux ? E FreeBSD ?
    non+autenticato
  • - Scritto da: All Stars
    > compromissione di sistemi Microsoft e
    > Apple (Mac OS X, iOS),

    >
    >
    > ... e ... e Linux ? E FreeBSD ?

    se è per questo non palra neppure di android che è colabrodo tanto quanto il windows dei bei tempi.
    non+autenticato
  • - Scritto da: All Stars
    > compromissione di sistemi Microsoft e
    > Apple (Mac OS X, iOS),


    > ... e ... e Linux ? E FreeBSD ?

    Ad oggi - che io sappia - esiste un solo APT classificabile come critico (BIOS schede madri + Firmware hard drive) portato avanti con successo ed operativo dal 2008, che rende Linux & FreeBSD vulnerabili. Si tratta del progetto dell'NSA indicato con il codename di ''SWAP'' e che, con molta probabilità è stato ideato principalmente per rendere vulnerabili i Server Linux e quindi la relativa infrastruttura sottostante:

    https://leaksource.files.wordpress.com/2013/12/nsa...
  • - Scritto da: All Stars
    > compromissione di sistemi Microsoft e
    > Apple (Mac OS X, iOS),

    >
    >
    > ... e ... e Linux ? E FreeBSD ?

    Stanno ancora cercando qualche utente... poi proveranno a capire se sono infetti.
    non+autenticato
  • - Scritto da: nome e cognome

    > Stanno ancora cercando qualche utente... poi
    > proveranno a capire se sono
    > infetti.

    Hanno finito adesso: gli utenti linux non sono infetti.
    Nessuno dei due.
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: All Stars
    > > compromissione di sistemi
    > Microsoft
    > e
    > > Apple (Mac OS X, iOS),

    > >
    > >
    > > ... e ... e Linux ? E FreeBSD ?
    >
    > Stanno ancora cercando qualche utente...

    Basta puntare sul craudde microbot o papple.

    > poi
    > proveranno a capire se sono
    > infetti.
    non+autenticato
  • Mi lasciano sempre dei dubbi le notizie come questa. Il "sistema" così come viene descritto sembra che sia tanto lungimirante che nessuna tecnologia attualmente in essere riesca a percepirne l'eventuale attività insolita. Un'anomala software / firmware cosi potente che nessuno strumento, anche quelli di basso livello, ne percepirebbe la sua insolita attività. Ma l’azienda in questione, però, c’è l’ha fatta! Svegliarsi sarebbe cosa buona e giusta no ?
    non+autenticato
  • Inventare un malware mirabolante potrebbe essere utile anche a coprire una talpa che ha banalmente installato il software... è facile dare la colpa ad un malware.
    non+autenticato
  • - Scritto da: prova123
    > Inventare un malware mirabolante potrebbe essere
    > utile anche a coprire una talpa che ha banalmente
    > installato il software... è facile dare la colpa
    > ad un
    > malware.

    ragazzi, fatevi un favore e leggete il PDF: spiega TUTTO.
    TUTTO.
    non+autenticato
  • Aggiungerei un dato: è tanto semplice quanto inquietante ma il sospetto che sia lo “scienziato / medico” a creare e diffondere malattie esiste ed è realisticamente parlando un dato di fatto, il tutto, per creare quella domanda che innesca il meccanismo del consumo inutile. Se tanto mi da tanto potrei sospettare che il 90% del software dannoso sia rilasciato direttamente o indirettamente dalle stesse aziende, pronte a risolvere il problema con un semplicissimo abbonamento annuale.
    non+autenticato
  • - Scritto da: nessuno
    > Aggiungerei un dato: è tanto semplice quanto
    > inquietante ma il sospetto che sia lo “scienziato
    > / medico” a creare e diffondere malattie esiste
    > ed è realisticamente parlando un dato di fatto,
    > il tutto, per creare quella domanda che innesca
    > il meccanismo del consumo inutile. Se tanto mi da
    > tanto potrei sospettare che il 90% del software
    > dannoso sia rilasciato direttamente o
    > indirettamente dalle stesse aziende, pronte a
    > risolvere il problema con un semplicissimo
    > abbonamento
    > annuale.
    E se l'azienda ha una sigla di tre lettere e i mezzi per farlo?
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: nessuno
    > > Aggiungerei un dato: è tanto semplice quanto
    > > inquietante ma il sospetto che sia lo
    > “scienziato
    > > / medico” a creare e diffondere malattie
    > esiste
    > > ed è realisticamente parlando un dato di
    > fatto,
    > > il tutto, per creare quella domanda che
    > innesca
    > > il meccanismo del consumo inutile. Se tanto
    > mi
    > da
    > > tanto potrei sospettare che il 90% del
    > software
    > > dannoso sia rilasciato direttamente o
    > > indirettamente dalle stesse aziende, pronte a
    > > risolvere il problema con un semplicissimo
    > > abbonamento
    > > annuale.
    > E se l'azienda ha una sigla di tre lettere e i
    > mezzi per
    > farlo?

    Forse non hai capito; l'hanno già fatto e ci provano di continuo, tra le altre cose. Il punto da chiarire è semplice, in che modo ? Non basta un PDF o l'articolo sopra esposto. Le chiacchiere servono semplicemente a confondere e diffondere dubbi, spesso sono fuorvianti e ne esistono una miriade il cui scopo e quello di distrarre e confondere. I fatti, invece, attinenti a notizie come questa e non solo, sono sempre pochi e quelli che vengono realmente confutati, spesso, parlano di tutt'altro. Nutro dei forti dubbi su tutti gli antivirus, nessuno escluso, proprio per il fatto che il loro compito è quello di scansionare tutto ciò che hai su HD (la scansione è fatta in maniera continua sempre e su tutti i file e su tutte le unità, il motivo ? Solo loro lo sanno). Successivamente c'è il famoso aggiornamento delle definizioni, una cacata pazzesca! Se vuoi dormire bene, stacchi la spina e buonanotte, non esiste solo Internet.
    non+autenticato
  • Non mi sembra un'ipotesi fantascientifica, tutt'altro: non è da oggi e nemmeno da ieri che si dice che sia proprio il vetraio a tirarti il famoso mattone nel vetro della finestra di casa. Poi guardi il mattone e scopri il bigliettino "ti hanno rotto un vetro? telefona al...".

    Solo, questa cosa viene fatta a livello globale (e governativo), a parer mio anche per questioni tipo "siamo con le mutande in mano e ci serve un modo per evitare che 400 milioni di (preziosissimi) americani crepino di fame" (e chissene dei 20-30 milioni di iracheni/iraniani/palestinesi/filippini/whatever ci rimettono le penne" (nota: ho scritto "americani" ma si può sostituire con "russi", "cinesi", "europei", ecc. ecc. senza modificare in nulla il senso della frase)
    883
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)