Il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha identificato una minaccia informatica senza precedenti, un “mostro” classificato come Equation Group in grado di fare praticamente tutto, online e offline. Equation Group potrebbe essere una creatura dell’intelligence americana, ma in epoca post-Datagate la cosa non stupisce neanche un po’.
I cracker “onnipotenti” di Equation Group sono attivi da almeno 14 anni, sostengono gli analisti di Kaspersky, un periodo di tempo che fa dell’attacco il vero “padre” di tutti i super-malware identificati negli anni passati come Stuxnet , Flame e Duqu .
La security enterprise moscovita ha identificato almeno 500 infezioni certe di Equation Group in almeno 42 nazioni, tutti paesi presenti nella lista nera dei “cyber-avversari” degli USA come Iran, Russia, Pakistan, Siria e altri. In detti paesi, gli attaccanti hanno infettato e compromesso istituzioni governative e diplomatiche, società di telefonia, utility energetiche, industrie aerospaziali, aziende di nanotecnologia, organizzazioni militari e via elencando.
Particolarmente complessa e innovativa la lista delle capacità di Equation Group, un “arsenale” che secondo Kaspersky include l’uso di un file system virtuale (sin qui visto solo nel supermalware Regin ), l’uso del Registro di Windows per salvare i file malevoli, compromissione di sistemi Microsoft e Apple (Mac OS X, iOS), l’uso di più di 300 nomi di dominio e 100 server per il centro di comando e controllo, stick USB ( altro che BadUSB ) per compromettere i sistemi non connessi ad alcuna rete telematica, la capacità “inusuale” di bypassare le restrizioni alla firma digitale dei componenti eseguibili sulle moderne versioni di Windows.
Kaspersky sottolinea in particolare la pericolosità di una tecnica specifica di Equation Group, vale a dire la sua capacità di infettare, riscrivendo, il firmware interno degli hard disk prodotti dai tutti i nomi noti del settore come Western Digital, Seagate, Maxtor, Toshiba, Hitachi e altri. L’infezione del firmware di un HDD, sin qui materia di presentazioni a effetto e rischi solo teorici, rende di fatto i malware di Equation Group “invisibili” a qualsiasi tecnologia di protezione, di sicurezza o antivirale. I componenti malevoli della minaccia sono inoltre dotati di meccanismi di autodistruzione, e hanno in tal modo agito indisturbati per tutti questi anni senza allarmare nessuno.
Chi ha scritto il complesso e sofisticato “toolkit” malevolo di Equation Group? Kaspersky non chiama mai direttamente in causa la NSA, ma fornisce tutte le prove necessarie a collegare la minaccia informatica alla famigerata intelligence del Datagate e dello spionaggio mondiale: Equation Group ha fatto uso di vulnerabilità ed exploit ignoti, anni e anni prima di rivedere quelle stesse vulnerabilità sfruttate da altri malware famosi come Stuxnet, e si è servito di tecniche di infezione da spy-story (come quella della riscrittura del firmware degli HDD) già note per essere state citate come parte integrante dell’arsenale della NSA nelle rivelazioni di Edward Snowden . Tutto torna, e NSA si è guardata bene dal commentare le rivelazioni di Kaspersky.
Alfonso Maruccia