Лаборатория Касперского опубликовала анализ EquationDrug

Специалисты ИБ-компании «Лаборатория Касперского» опубликовали подробный анализ, посвященный шпионской платформе EquationDrug (внутреннее обозначение «Лаборатории Касперского»). Данный инструмент использовался группировкой Equation при осуществлении огромного количества атак, начиная с 2001 года (и, возможно, еще раньше – с 1996 года).

Эксперты подчеркивают, что EquationDrug – не просто троян, а полноценная шпионская платформа, которая включает прошивку для осуществления кибершпионажа посредством отправки специальных модулей на таргетируемые машины. Стоит отметить, что концепция шпионской платформы не является новой или уникальной. Известно, что такие инструменты использовались в кампаниях Regin и Epic Turla.

Платформа EquationDrug может быть расширена за счет плагинов (или модулей). Она содержит предустановленный набор плагинов, поддерживающих базовые функции для осуществления кибершпионажа, в том числе возможность сбора файлов и создания скриншотов. Перед отправкой похищенных данных на C&C-сервер злоумышленников, информация сохраняется в зашифрованной виртуальной системе.

По словам экспертов, архитектура всей прошивки напоминает мини-операционную систему, в которой компоненты режима ядра и режима пользователя осторожно взаимодействуют между собой через специальный передающий сообщения интерфейс. Платформа включает в себя набор драйверов, ядро платформы и ряд плагинов. Каждый плагин обладает собственным идентификатором и номером версии, который определяет какие именно функции выполняет модуль.

Специалисты утверждают, что по своей сложности EquationDrug может сравниться с космической станцией, однако она абсолютно бесполезна без своего шпионского функционала, за который отвечают модули. Предположительно, платформа содержит порядка 116 плагинов, хотя исследователям удалось обнаружить только 30.

Модули могут осуществлять следующую деятельность: перехват сетевого трафика, управление целевым компьютером, сбор информации о системе, мониторинг браузерной активности, определение имени компьютера и имени пользователя, а также управление файлами и директориями, загрузку драйверов и библиотек и пр.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s