Todo sobre Equation Group, la amenaza heredada de generaciones pasadas

Ayer a primera hora nos levantábamos con la noticia, que tuve que recoger como buenamente pude para la píldora informativa del CIGTR (ES). Desde entonces, llevo varias horas recopilando información sobre Equation Group, un grupo de tecnologías (y presumiblemente de expertos en seguridad ofensiva) que conformarían uno de los actores más peligrosos en cuanto a amenazas de seguridad en la historia de la informática se refiere.

Fanny

Y no lo digo yo, sino el GREAT de Kaspersky Lab (EN), que liberaba recientemente parte de la documentación que han ido recogiendo en estos últimos años, y que posiciona a Equation Group como el vector más sofisticado de los cerca de 60 detonantes mundiales analizados durante todo este tiempo.

Su misión, sería la de obtener información crítica de las víctimas, y para ello recurren a tecnologías y software que sin duda, y debido tanto a su complejidad como a los recursos necesarios para tejer esta arquitectura de espionaje, apuntan ineludiblemente a agencias de inteligencia, presumiblemente estadounidenses (usted ya me entiende…).

¿De qué tipo de amenaza estamos hablando?

La maleta de Equation Group estaría repleta de gusanos asombrosamente sofisticados, entre los que cabe señalar herramientas como EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny o GrayFish, con la finalidad de cumplir dos mantras que todo “Darth Vader de Internet” (ojo, que la comparación viene de los chicos de Kaspersky (EN)) desearía:

  • Persistencia absoluta: Y persistencia REAL, pese a que hablamos de software. Alrededor de una docena de grandes marcas de discos duros (EN) serían los objetivos de Equation Group, capaces de reescribir el firmware de este componente. ¿Qué quiere decir esto? Pues que primero alguien ha hecho una labor magistral de ingeniería inversa, o el lobby político ha sabido jugar sus cartas convenientemente para hacerse con el código fuente de la mayor parte de firmwares del mercado, de tal manera que a día de hoy, un dispositivo infectado por Equation Group pasaría cualquier control de antivirus (el malware está instalado en el propio firmware, y por tanto, carga antes que cualquier antivirus), y además logra la persistencia absoluta (no hay manera alguna que el usuario pueda borrar el malware, ni siquiera formateando el disco).

“Significa esto que estamos prácticamente ciegos y no podemos detectar los discos duros que han sido infectados por este malware” – decía Costin Raiu, director del Equipo de Investigación y Análisis Global de Kaspersky Lab.

  • Invisibilidad absoluta: Teniendo capacidad de escritura en el sistema operativo del disco duro, e imposibilitando la lectura por el resto de componentes, Equation Group es capaz de crear puntos negros en el firmware donde alberga la información crítica que vaya obteniendo de la víctima, por ejemplo la contraseña necesaria para descifrar el contenido del HDD, que se aplica antes de la carga del sistema de ficheros, y justo después de la carga del disco.

“Teniendo en cuenta el hecho de que GrayFish está activo desde el arranque del sistema, tienen la capacidad de capturar la contraseña de cifrado y guardarla en esta zona”

Respecto a los vectores de ataque, han ido cambiando con el paso del tiempo. Desde CD-ROMs, pasando por USBs hasta los servicios online actuales. Todo dependiendo del target buscado, y con el foco puesto en las redes aisladas.

De hecho la metodología seguida recuerda tanto a Stuxnet como a Flame, ya que Fanny, una de las herramientas del grupo, sería capaz de reconocer las redes y aplicar inteligencia para abrirse paso por las mismas. Hablamos por tanto de un aprendizaje apoyado en un sistema remoto y fuertemente escalonado que permitiría a los ciberatacantes comprender qué papel juega el dispositivo infectado dentro de una red, para establecer la estrategia más adecuada para llegar al objetivo.

Un lápiz USB sirve de Caballo de Troya perfecto, albergando información en ese espacio oculto del que hablábamos hasta que ese mismo USB es conectado en otro dispositivo que sí tenga acceso a internet, poniéndose en contacto entonces con el centro de control del APT.

Por supuesto, este centro de control está totalmente descentralizado en alrededor de 300 servidores a lo largo y ancho del mundo, algunos de ellos (sino casi todos) seguramente sin conocimiento alguno de estas labores.

La compartición de exploits entre Equation Group y los creadores de otros APTs como Stuxnet o Flame parece clara. Eso, o por pura casualidad han llegado a encontrar varios exploits similares, utilizados en diferentes momentos de la historia.

¿Y qué es lo más preocupante?

Precisamente de lo que hablaba en el artículo para el CIGTR. Que esta joya de la ingeniería fue desarrollada hace casi dos décadas. Se tiene constatación de que en el 2001 ya estaba operando, y que podría haber empezado su diseño y desarrollo alrededor del 1997.

Es decir, un malware de hace dos décadas que consigue infectar de forma invisible y persistente la mayoría de discos duros del mercado. Algo que hasta hace un par de días casi presuponíamos que era ciencia ficción.

Dos décadas… Ahora póngase a pensar. Si un malware de hace dos décadas acaba por ser descubierto estos días, imagínese el nivel de sofisticación que tendrán los APTs que estarán siendo en este momento desarrollados, así como aquellos que se han ido creando en estos últimos años y que ya están en circulación.

Y peor aún, caiga en la cuenta de que previsiblemente hasta dentro de otras cuantas décadas no tendremos constancia de su existencia, ni capacidad alguna por tanto para defendernos de sus acciones.

¿En juego? El destino del mundo, de la economía, de la política, de la sociedad. La peor cara de la tecnología al servicio de quien menos queremos que esté.

Esto no es una broma. Estamos jugando en un tablero cuyas leyes son sutil y maquiavélicamente gestionadas por unos pocos. Y el objetivo es el control y dominación de todo el sistema de información que sustenta nuestra civilización.