هارد دیسک خود را نابود کنید !
هارد دیسک خود را نابود کنید !
جدا از تمامی بدافزاهای پیچیده و پرقدرتی که توسط گروه Equation تولید شده، بزرگترین دستاورد این گروه از دیدگاه محققین توانایی آنها برای آلوده کردن firmware هارد درایوها می باشد.
نمایی از هارد درایو سامسونگ که نسبت به این حمله آسیب پذیر می باشد
گروه Equation توانسته است هارد دیسک های تولید شده توسط 12 شرکت مختلف شامل Western Digital ، Maxtor, Samsung, IBM, Micron, Toshiba, and Seagate را آلوده نماید، به این معنی که که اکثریت رایانه های شخصی در جهان در معرض خطر قرار گرفتند.
این گروه Frimware هارد درایوها را بازنویسی کرده و یک بخش مخفی درون درایو ایجاد می کند بطوریکه حتی نسبت به روش های نظامی پاک کردن و فرمت نمودن مجدد نیز مقاوم است.
با وجود پرقدرت بودن این بردار حمله، گروه Equation در استفاده از آن صرفه جویی کرده است:
محققین نمونه هایی کمی از قربانیانی که روی سیستم آنها برنامه نویسی مجدد Frimware هارد دیسک انجام شده باشد پیدا کردند. این امر نشان می دهد که احتمالا این ماژول تنها برای با ارزشمندترین قربانیان و یا برای برخی از شرایط غیرمعمول نگه داشته شده است.
چه سیستم عامل هایی مورد حمله قرار گرفته اند ؟
عموما سیستم عامل های ویندوز مورد حمله قرار گرفته اند، اما محققین شواهدی از آلوده شدن سیستم های غیر ویندوزی پیدا کرده اند. مدارکی از آلوده شدن تعداد زیادی از کاربران در کشور چین که از سیستم عامل Mac OS X استفاده می کنند وجود دارد که نشان می دهد نسخه Mac OS X بدافزار DoubleFantasy نیز وجود دارد.
محققین خاطرنشان کردند که شواهدی وجود دارد که این گروه توانسته به طیف وسیعی از تلفن های iPhone شرکت اپل نیز نفوذذ کنند.
چکونه محققین موفق به کشف این گروه شدند ؟
در طول تحقیقات انجام شده برای بدافزار بسیار پیچیده Regin، محققین کامپیوتری را در خاور میانه کشف که میزان آلودگی در آن چندین برابر نمونه های دیگر بود. این سیستم علاوه بر Regin آلوده به بدافزارهای دیگری چون Turla، ItDuke، Animal Farm، و Careto/Mask بود.
بزرگترین اشتباهی که توسط گروه Equation رخ داد عدم بروز رسانی 20 عدد از 300 سرور C&C خود بود. محققین به سرعت این دامنه ها را ثبت کرده و در طول 10 ماه گذشته از آنها برای sinkhole نمودن ارتباط بین ماشین های آلوده و سرورهای کنترل و فرماندهی استفاده کردند.
این تحقیقات منجر به کشف بدافزار EquationDrug شد و با بررسی شباهت های این بدافزار به دیگر کدها، با استفاده از تحلیل ایستا و کنترل سرورهای C&C، محققین چندین خانواده بدافزار دیگر از جمله DoubleFantasy، EquationLaser، Fanny، GrayFish و TripleFantasy را شناسایی کردند.
آیا گروه Euquation هنوز در حال فعالیت می باشد ؟
محققین هنوز در حال رصد سیستم هایی هستند که با سرورهای C&C این گروه در ارتباط بوده و در کشورهایی مثل روسیه، ایران، چین و هند قرار دارند.
شواهد حاکی از آن است که 90 درصد سرورهای این گروه در سال گذشته غیرفعال شده اند که به نظر می رسد عکس العملی در قبال افشاگری های گسترده ادوارد اسنودن در مورد سازمان امنیت ملی آمریکا باشد.
با در نظر گرفتن مهارت های تکنیکی گروه Equation، به نظر نمی رسد که این گروه متوقف شده باشد. بلکه پیش بینی می شود که این گروه در حال عملیات و فعالیت و استفاده از روش ها و بدافزارهایی می باشد که هنوز کشف نشده اند.