Um grupo de ciberespionagem hábil e cheio de recursos conhecido como Equation vem se concentrando em organizações de um grande número de países, utilizando uma série de ferramentas de malware altamente desenvolvidas, que buscam evitar detecções. Uma nova pesquisa de nossos colegas do Kaspersky Lab chamou a atenção do público para as atividades e ferramentas do grupo. Os produtos Symantec detectam os tipos de malware sabidamente empregados pelo Equation.
O grupo Equation utilizou uma série de diferentes ferramentas de malware em suas operações. Os computadores visados são frequentemente inicialmente comprometidos com um malware que age como ferramenta de reconhecimento. Ele tem a função de coletar informações sobre o computador infectado e manter uma porta dos fundos aberta, que permita a instalação de outros malwares caso o computador seja identificado como interesse. Essa é uma tática comum adotada por grupos de ciberespionagem. Por exemplo, o grupo por trás do Turla Trojan geralmente infecta suas vítimas com o Wipbot Trojan antes de enviar o Trojan Turla, caso decida que o computador merece atenção.
A principal ferramenta usada para este fim pelo Equation parece ser o Infostealer.Micstus, também conhecido como “DoubleFantasy”. O Trojan.Tripfant (também conhecido como “TripleFantasy”) tem capacidades semelhantes e pode ser um substituto para o Micstus.
O Equation utilizou uma sucessão de Cavalos de Tróia avançados e com objetivos múltiplos como suas principais ferramentas. Acredita-se que o Trojan.Grayphish, também chamado de “GrayFish”, seja o preferido do grupo atualmente. Ele possui uma estrutura complexa e características furtivas, que incluem um bootkit que permite que o malware assuma o controle de todo o processo de inicialização do Windows. Extremamente furtivo, o Grayphish usa também um sistema de arquivo virtual criptografado, que fica escondido dentro do registro do Windows.
Esse Trojan parece ter substituído o antigo Trojan.Equdrug (também conhecido como “EquationDrug”) que, por sua vez, provavelmente substituiu o antigo Backdoor.Lassrv.B. Também conhecido como “EquationLaser”, esse Cavalo de Tróia deve ser um dos primeiros empregados pelo grupo, até ser substituído.
Grayphish e Equdrug possuem uma estrutura modular. Além de módulos padrão, uma série de recursos especializados também pode ser empregada. Entre os recursos estão um módulo altamente sofisticado, e raramente usado, que permite que o malware reprograme o firmware em uma série de discos rígidos populares. Ele garante aos atacantes uma presença persistente, que pode sobreviver à reformatação do disco. A Symantec detecta este módulo como Packed.Generic.483.
Além destes potentes cavalos de tróia, o Equation empregou uma série de ferramentas especializadas. Entre eles, estão Trojan.Grokey, um keylogger customizado (também chamado de “Grok”) e W32.Fanni, também conhecido como “Fanny worm”. O principal objetivo desse worm parece ser buscar redes air gapped. Ele pode receber comandos e enviar dados furtivamente através de pen drives infectados. O Fanny usava duas explorações de dia-zero que também eram utilizadas em ataques Stuxnet. As explorações eram usadas no Fanny antes do Stuxnet, indicando que Equation já conhecia as vulnerabilidades. Outra semelhança é o fato do Stuxnet também ter sido projetado para atacar redes air gapped.
Proteção
Os produtos Symantec e Norton dispõem das seguintes detecções contra os tipos de malware utilizados pelo grupo Equation:
Antes disso, a Symantec detectou o malware do Equation com uma série de inspeções, inclusive Trojan.Tracur, Backdoor.Trojan, Trojan Horse, Trojan.Gen.2, e W32.Stration@mm.