Эксперты «Лаборатории Касперского» опубликовали анализ шпионской платформы EquationDrug

image

Теги: кибершпионаж, платформа, вредоносное ПО

Данный инструмент использовался группировкой Equation при осуществлении огромного количества атак, начиная с 2001 года.

Специалисты ИБ-компании «Лаборатория Касперского»  опубликовали  подробный анализ, посвященный шпионской платформе EquationDrug (внутреннее обозначение «Лаборатории Касперского»). Данный инструмент использовался группировкой Equation при осуществлении огромного количества атак, начиная с 2001 года (и, возможно, еще раньше – с 1996 года).

Эксперты подчеркивают, что EquationDrug – не просто троян, а полноценная шпионская платформа, которая включает прошивку для осуществления кибершпионажа посредством отправки специальных модулей на таргетируемые машины. Стоит отметить, что концепция шпионской платформы не является новой или уникальной. Известно, что такие инструменты  использовались  в кампаниях Regin и Epic Turla.

Платформа EquationDrug может быть расширена за счет плагинов (или модулей). Она содержит предустановленный набор плагинов, поддерживающих базовые функции для осуществления кибершпионажа, в том числе возможность сбора файлов и создания скриншотов. Перед отправкой похищенных данных на C&C-сервер злоумышленников, информация сохраняется в зашифрованной виртуальной системе.

По словам экспертов, архитектура всей прошивки напоминает мини-операционную систему, в которой компоненты режима ядра и режима пользователя осторожно взаимодействуют между собой через специальный передающий сообщения интерфейс. Платформа включает в себя набор драйверов, ядро платформы и ряд плагинов. Каждый плагин обладает собственным идентификатором и номером версии, который определяет какие именно функции выполняет модуль.

Специалисты утверждают, что по своей сложности EquationDrug может сравниться с космической станцией, однако она абсолютно бесполезна без своего шпионского функционала, за который отвечают модули. Предположительно, платформа содержит порядка 116 плагинов, хотя исследователям удалось обнаружить только 30.

Модули могут осуществлять следующую деятельность: перехват сетевого трафика, управление целевым компьютером, сбор информации о системе, мониторинг браузерной активности, определение имени компьютера и имени пользователя, а также управление файлами и директориями, загрузку драйверов и библиотек и пр.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.