Blogdevphp

Kaspersky lève le voile sur le groupe Equation

2015-02-21 info

Kaspersky Lab par l'intermédiaire de l'équipe GReAT (Global Research and Analysis Teama rédigé un long rapport, sur les actes d'un groupe nommé Equation.

Ce nom a été donné par le groupe de recherche de Kaspersky , en rapport à la complexité du chiffrement des codes malveillants et le talent des protagonistes. On est loin du malware Babar, qu'on prête aux renseignements français utilisé dans les systèmes de messageries instantanées. 

On le soupçonne très fortement d'être lié à la NSA (National Security Agency). Cette cellule est active depuis un certain nombre d'années, peut-être depuis 1996. Plusieurs états en ont été la cible, notamment des pays du Moyen-Orient et l'Asie.

Un arsenal de codes malveillants

Au total, l'équipe GReAT a identifié six outils, particulièrement redoutables,issus du travail de ce groupe singulier. 

Ces malwares ont été nommés par GReAT et sont au nombre de six :

- EQUATIONDRUG

- DOUBLEFANTASY

- TRIPLEFANTASY

- GRAYFISH

- FANNY

- EQUATIONLASER

Il y a un septième, EQUESTRE mais il est semblable à EQUATIONDRUG. Si vous avez entendu parler de stuxnet, FANNY en est l'inspiration, reposant sur l'exploitation de failles de type 0-day. On peut l'écrire aussi Zero-day, une vulnérabilité, une faille, inconnu du constructeur, pouvant être exploitée par  une personne mal intentionnée, compromettant ainsi  le système de ceux utilisant le produit.

DOUBLEFANTASY est une sorte "d'éclaireur" pour confirmer la cible et si c'est le cas, la personne sera amenée, sans s'en rendre compte, à récupérer un malware, beaucoup plus pernicieux qui peut-être EQUATIONDRUG ou GRAYFISH pour l'espionner.

Grayfish : Un malware très envahissant

Développé entre 2008 et 2013, il s'intègre dans le système d'exploitation et est compatible, avec les versions Microsoft Windows, allant de la version NT4.0 à la version 8, que ce soit en 32 ou 64 bits.

Il s'intègre dès le demarrage de la machine par le boot et contrôle chaque étape du chargement du système d'exploitation. Un VFS, un virtual file system se crée dans le registre de Windows et est indétectable des antivirus. En cas d'erreur lors de sa construction, le malware s'autodétruit. Du travail d'orfèvre selon l'équipe GReAT.

Les systèmes d'exploitation Apple OS X d'Apple n'ont pas été oublié car un arsenal de malwares a bien été créé.

Ce n'est pas tout, les systèmes de stockages tels que le disque dur peut-être infecté par le firmware! Ce qui est vraiment troublant, c'est que cela concerne les constructeurs bien connus tel que Seagate, Western Digital, Maxtor...

Avec le firmware infecté, le disque peut-être lu sans difficulté et ne craint pas le formatage, c'est dire. Mais pour faire ce coup-là, soit il y a eu connivence entre les constructeurs et ce groupe ou soit, les données ont été piratées.

 

comments powered by Disqus
Copyright © 2017 blogdevphp.fr - Tous droits réservés