2001 yılından beri Equation grup, dünyanın her yerinden 30’dan fazla ülkede farklı sektörlerden binlerce, hatta belki on binlerce kurbana virüs bulaştırmakla meşguldü: Devlet ve diplomasi kurumları, Telekomünikasyon, Hava-uzay, Enerji, Nükleer araştırma, Petrol ve Gaz, Savunma, Nanoteknoloji, İslami aktivistler ve araştırmacılar, Kitle iletişimi, Taşımacılık, Finansal kuruluşlar ve şifreleme teknolojileri geliştiren şirketler hedefteydi.
Equation grubu, 300’den fazla etki alanı ve 100’den fazla sunucu içeren devasa bir C&C altyapısı kullanıyor. Bu sunucular ABD, İngiltere, İtalya, Almanya, Hollanda, Panama, Kosta Rika, Malezya, Kolombiya ve Çek Cumhuriyeti dahil birçok ülkede barındırılıyor.
Kurbanlarına virüs bulaştırmak için grup, güçlü ve modern bir zararlı yazılım cephaneliğinden faydalanıyor. GReAT, popüler HDD markalarının bir düzinesinden fazlasının sabit disk belleniminde yeniden programlamaya olanak tanıyan iki modülü kurtarabilmiş. Bu belki de Equation grubunun cephaneliğindeki en kullanışlı araç ve sabit sürücülere virüs bulaştırma becerisine sahip olduğu bilinen ilk zararlı yazılım.
Grubun sabit diskin bellenimini yeniden programlamasının (yani sabit diskin işletim sistemini yeniden yazmanın) iki amacı var:
- Disk formatlama ve İS yeniden kurulumundan kurtulmaya yardımcı olan en üst düzey kalıcılık. Zararlı yazılım bellenime girerse, kendini sonsuza dek “yeniden diriltebilir”. Belirli disk sektörlerinin silinmesine engel olabilir veya sistemin yüklenmesi sırasında zararlı bir sektörle değiştirebilir.
- Sabit diskin içinde görünmez ve kalıcı bir alan oluşturma becerisi. Daha sonra saldırganlarca geri alınabilecek olan çalınan bilgileri kaydetmek için kullanılır. Ayrıca bazı durumlarda grubun şifreyi kırmasına yardımcı olabilir: Costin Raiu sözlerini şöyle sürdürüyor: “GrayFish eklentisinin sistemin ilk yüklenişinden itibaren aktif olduğu hesaba katılacak olduğunda şifreleri ele geçirme ve bunları gizli bir yere kaydetme becerisine sahip oldukları görebiliriz.”
Bunun yanı sıra Equation grubu, tüm saldırılarında göze çarpan Fanny solucanını kullanıyor. Temel amacı hava boşluğu bulunan ağların haritasını çıkarmak, bir başka ifadeyle ulaşılamayan bir ağın topolojisini anlamak ve bu yalıtılmış sistemlerde komutlar yürütmek. Bunun için saldırganların hava boşluklu ağlarda verileri ileri ve geri taşımalarına olanak tanıyan benzersiz bir USB tabanlı komut ve kontrol mekanizması kullanılmış.
Özellikle, İnternete bağlı olmayan bir bilgisayardan temel sistem bilgilerini toplamak ve Fanny bulaşmış ve İnternete bağlı olan bir bilgisayara USB çubuğu takıldığında bu bilgileri C&C’ye göndermek için gizli bir depolama alanı ve virüs bulunan USB çubuğu kullanılıyor. Saldırganlar hava boşluklu ağlarda komutlar çalıştırmak istediklerinde bu komutları USB çubuğunun gizli alanına kaydedebilirler. Çubuk hava boşluklu bilgisayara takıldığında Fanny komutları tanıyor ve yürütüyor.
Üstelik, Equation grubunun Stuxnet ve Flame operatörleri gibi diğer güçlü gruplarla, genellikle tepeden bakan bir konumda etkileşime geçtiğini gösteren sağlam kanıtlar da bulunuyor. Equation grubu sıfır gün tehditlerine Stuxnet ve Flame tarafından kullanılmadan önce erişim sağlamış ve bir noktada açıklardan yararlanma amaçlı kodları diğerleriyle paylaşmış.
Örneğin Fanny, Stuxnet‘in Haziran 2009 ve Mart 2010’da kullandığı iki sıfır gün tehdidini 2008 yılında kullanmış. Bu Stuxnet sıfır gün tehditlerinden biri gerçekte, Flame ile aynı açıktan faydalanan ve doğrudan Flame platformundan alınarak Stuxnet‘te oluşturulan bir Flame modülüydü.
Equation grup tarafından zararlı yazılımlarında kullanılmış yedi adet açıklardan faydalanma amaçlı kod gözlemlendi. Bunlardan en az dördü sıfır gün tehditlerinde kullanıldı. Buna ek olarak, Tor tarayıcısında olduğu gibi Firefox 17‘ye karşı muhtemelen sıfır gün tehdidi olarak kullanılan bilinmeyen açıklardan yararlanma amaçlı kodlar gözlemlendi.
Virüs bulaştırma aşamasında grup, on adet açıklardan faydalanma amaçlı kodu bir zincir halinde kullanma becerisine sahip. Ancak uzmanlar üçten fazlasının kullanıldığını henüz gözlemlemedi: ilki başarılı olmazsa bir diğerini deniyor ve ardından bir diğerini daha deniyorlar. Üç denemenin hiç biri başarılı olamazsa sisteme virüs bulaştırmaktan vazgeçiyorlar.
Lenovo A319 ile 10 Saat Kesintisiz Müzik
