[section_title title=Gruppo Equation: la minaccia informatica più potente di sempre]
Si chiama gruppo Equation ed è la minaccia informatica più pericolosa di tutti i tempi. A dirlo è Global Research and Analysis Team di Kaspersky Lab, che nel corso degli anni ha monitorato oltre 60 organizzazioni cybercriminali responsabili di attacchi informatici su scala globale. Mai prima d’ora, però, gli esperti del GReAT avevano scovato una minaccia così potente come il gruppo Equation in termini di complessità e sofisticatezza delle tecniche.
Secondo i ricercatori di Kaspersky Lab, si tratta di un’organizzazione ben strutturata che utilizza strumenti molto complicati e costosi da sviluppare, capace di infettare le vittime, ottenere informazioni, sfruttare le classiche tecniche di spionaggio per inviare payload dannosi, riuscendo sempre a nascondere la propria attività in un modo estremamente professionale. Per infettare le sue vittime, il gruppo Equation usa un potente arsenale di “impianti” (Trojan) identificati da Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny e GrayFish. Ma senza dubbio ne esistono altri.
Ma cosa rende così pericoloso il gruppo Equation?
Massima persistenza e invisibilità
Il GReAT è stato in grado di individuare due moduli che permettono ai cybercriminali di riprogrammare il firmware dell’hard disk di più di una dozzina delle popolari marche di HDD. Questo è forse il tool più potente dell’arsenale del gruppo Equation e il primo malware conosciuto in grado di infettare il disco rigido. Riprogrammando il firmware dell’hard disk (ad esempio riscrivendone il sistema operativo), il gruppo raggiunge due obiettivi:
- Un livello estremo di persistenza che permette di sopravvivere alla formattazione del disco e alla reinstallazione del sistema operativo. Se il malware riesce a entrare nel firmware, potrà riattivarsi per sempre. Potrebbe evitare l’eliminazione di un determinato settore del disco o sostituirlo con uno nocivo durante l’avvio del sistema. “Un altro pericolo è che, una volta infettato l’hard drive con questo payload nocivo, è impossibile scansionare il suo firmware. In poche parole: per la maggior parte degli hard drive ci sono funzioni per scrivere il firmware dell’hardware, ma non ci sono funzioni per rileggerlo. Questo ci impedisce di rilevare gli hard drive infettati dal malware” avverte Costin Raiu, Director del Global Research and Analysis Team di Kaspersky Lab.
- L’abilità di creare un’area invisibile e persistente nascosta all’interno dell’hard drive che viene usata per salvare le informazioni estrapolate che, in un secondo momento, potranno essere recuperate dai criminali. Inoltre, in alcuni casi potrebbe aiutare il gruppo a superare la cifratura del disco:“Considerando il fatto che il loro impianto GrayFish è attivo fin dall’avvio del sistema, sono in grado di ottenere la password di crittografia e salvarla nell’area nascosta” spiega Costin Raiu.
