El Grupo de ciberespionaje Equation, logra crear un malware indestructible

/in /by

El Equipo de Análisis e Investigación Global de Kaspersky Lab  ha estado durante años vigilando a más de 60 actores de amenazas avanzadas responsables de ciberataques en todo el mundo. Sin embargo, hasta ahora los expertos de Kaspersky Lab pueden confirmar  que uno de ellos, Equation, representa una amenaza que supera a todos los demás en función de complejidad y sofisticación de técnicas.

Más sobre Equation

El grupo Equation es conocido por utilizar herramientas muy complejas y de alto costo para infectar a usuarios, recuperar datos y ocultar actividad de manera profesional. Además se caracteriza por utilizar técnicas clásicas de espionaje para introducir cargas maliciosas en las víctimas, son los llamados “implantes” (Troyanos). Durante muchos años han interactuado con otros grupos poderosos, como Stuxnet y Flame, siempre desde una posición de superioridad, ya que tenían acceso a exploits antes que los demás.

Este grupo de hackers ha infectado a miles de víctimas en más de 30 países de todo el mundo, cubriendo los sectores gubernamental, de telecomunicaciones, aeroespacial, energético, de transporte e instituciones financieras, así como la milicia, organizaciones de investigación nuclear, gas y petroleras, investigación de nanotecnología, compañías de desarrollo de tecnologías de cifrado, medios masivos de comunicación y hasta a los activistas Islámicos.

Mapa de víctimas de Equation Group

Mapa de víctimas de Equation. Fuente: Great Kaspersky

Equation utiliza una vasta infraestructura de Comando y Control (C&C) que incluye más de 300 dominios y más de 100 servidores. Los servidores están alojados en múltiples países, incluyendo los Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia y la República Checa.

Según un estudio de Kaspersky Lab,  el Grupo ha conseguido crear un malware capaz de reprogramar el firmware de los discos duros, permitiendo que los “implantes” se vuelvan invisibles y casi indestructibles.

¿Qué quiere decir reprogramar el firmware del disco duro?

Un disco duro está formado por dos componentes: un soporte de almacenamiento (discos magnéticos para HDD clásicos o chips de memoria flash para SSD) y un microchip, que se encarga de controlar la lectura y la escritura en el disco. Además a estas partes se les suma una serie de procedimientos de servicio, como la detección y corrección de errores.

Disco Duro
Los procedimientos de servicio son complejos y numerosos, por ello requieren de un programa que los controlen. El programa del chip se denomina firmware y las empresas que se dedican a producir hardware regularmente lanzan actualizaciones para corregir los problemas potenciales en sus productos.

En este punto el grupo Equation logró descargar su propio firmware en doce categorías diferentes de discos duros. Se desconocen las funciones modificadas por el firmware malicioso, pero sí se conoce que el malware que infecta las máquinas tiene la capacidad de escribir y leer datos en el disco. Al reprogramar el firmware del disco duro (reescribir el sistema operativo de dicho disco), el grupo logra dos propósitos:

  • Un nivel extremo de persistencia que ayuda a sobrevivir al formateado del disco y la reinstalación del sistema operativo. Si el malware entra en firmware, estará disponible para ” revivir” para siempre. Puede prevenir que se borre algún sector del disco o sustituirlo con uno malicioso durante el proceso de arranque del sistema.
  • La capacidad de crear un área persistente invisible dentro del disco duro. Se usa para guardar información extraída que los atacantes pueden recuperar más tarde. Una vez que un disco duro se infecta con esta carga maliciosa es imposible analizar su firmware. Para la mayoría de los discos hay funciones para escribir en el área del firmware del hardware, pero no hay opciones para leerlo de nuevo. Es esta caso no se puede detectar discos duros que hayan sido infectado con este malware.

Quizás la herramienta más poderosa en el arsenal del grupo Equation sea un misterioso módulo conocido sólo por su nombre críptico: “nls_933w.dll“. Este módulo les permite reprogramar el firmware del disco duro para una docena de marcas de discos duros, incluyendo Seagate, Western Digital, Toshiba, Maxtor e IBM. Este es un asombroso logro técnico y es una muestra de las habilidades del grupo.