Die meisten Opfer der Equation Group befinden sich im Iran und in Russland.
Stark betroffen sind auch Pakistan, Afghanistan, Indien, China, Syrien und
Mali.(Foto: Kaspersky Lab)
Dienstag, 17. Februar 2015
Mutter der Cyber-Spionage Mächtigste Hacker-Gruppe identifiziert
Sicherheitsforscher warnen vor einer mächtigen Hacker-Organisation, die seit
rund 15 Jahren ihr Unwesen treibt. Sie soll alles bisher Bekannte in den
Schatten stellen. Die Virenjäger nennen sie die "Equation Group", andere NSA.
Wer oder was ist die "Equation Group"? Sicherheitsforscher des Kaspersky Lab
warnen vor einer Organisation, die gefährlicher und besser ausgerüstet sein soll
als alle anderen bekannten Hacker-Gruppen. Die Equation Group sei schon seit
2001 aktiv und für weltweit mehr als 60 Cyberangriffe verantwortlich, die
besonders fortschrittlich ausgeführt worden seien, heißt es in der
Pressemitteilung. Es gäbe auch "zuverlässige Hinweise darauf, dass die Equation
Group mit anderen einflussreichen Gruppen wie beispielsweise den Betreibern von
Stuxnet und Flame interagiert", schreiben die Sicherheitsforscher. Die
Organisation habe dabei offenbar eine Führungsrolle gespielt. So habe ein
Schädling der Equation Group zwei Zero-Day-Schwachstellen ausgenutzt, lange
bevor diese in Stuxnet und Flame eingebaut worden seien.
Mit dem Implantat "EquationLaser" fingen 2001 die Aktivitäten der Gruppe an.
Gibt es eine Verbindung zu den Anschlägen des 11. September?(Foto: Kaspersky)
Laut Kaspersky Lab ist die Equation Group in "annähernd all ihren Aktivitäten
einzigartig". Die Gruppe nutze äußerst komplizierte Werkzeuge, die sehr teuer in
der Entwicklung seien. "Damit infizieren sie ihre Opfer, rufen Daten ab und
verbergen ihre Aktionen in einer außergewöhnlich professionellen Weise." Zur
Infektion benutze die Gruppe eine Reihe von Trojanern (Implantaten), böswilliger
Code werde aber auch über klassische Spionage-Taktiken bei den Opfern platziert.
Unentdeckt auf Festplatten
Für die Experten sind die vielleicht gefährlichsten Werkzeuge im Arsenal der
Hacker-Organisation zwei Module, mit denen die Neuprogrammierung der
Festplatten-Firmware bei einem Dutzend beliebter Festplattenhersteller möglich
ist. Die Malware selbst zeichne sich durch eine extrem hohe Widerstandsfähigkeit
aus, mit der sie sogar eine Formatierung der Festplatte oder eine
Neuinstallation des Betriebssystems überlebe, so die Pressemitteilung.
"Sobald die Malware in die Firmware gelangt, kann sie sich selbst für immer
wieder herstellen und das Löschen bestimmter Festplattenbereiche verhindern
beziehungsweise diesen Bereich durch einen schädlichen während eines
Systemneustarts ersetzen." Es sei unmöglich, die infizierten Festplatten zu
scannen, sagt Kaspersky-Mitarbeiter Costin Raiu. "Das bedeutet, dass wir
praktisch blind sind und mit dieser Malware infizierte Festplatten nicht
erkennen können." Der getarnte Malware-Spion sei ab dem Hochfahren des Systems
aktiv und könne Informationen speichern und weitergeben, sagt der Experte. Unter
anderem könnten die Angreifer so auch das Verschlüsselungspasswort erbeuten.
Um auch Netzwerke ausspionieren zu können, die nicht mit dem Internet verbunden
sind, nutzt die Equation Group USB-Sticks mit einem versteckten Speicherbereich.
Sobald er an einem Rechner des Netzwerks angeschlossen wird, beginnt ein
Computerwurm namens "Fanny", unerkannt Informationen zu sammeln. Wird er später
an einen Rechner gesteckt, der online ist, schickt er die Daten automatisch an
den Command- und Control-Server der Equation Group. Umgekehrt können die Hacker
in den versteckten Bereich des Sticks Befehle platzieren, die prompt ausgeführt
werden, wenn er an einem Rechner des Netzwerks steckt.
Equation Group = NSA?
Die Angreifer nutzten laut Kaspersky Lab alle Methoden, um Ziele zu infizieren;
nicht nur über das Web, sondern auch klassische Methoden der Spionage. Einige
Teilnehmer einer wissenschaftlichen Konferenz in Houston erhielten
beispielsweise zu Hause eine CD-ROM mit Inhalten der Veranstaltung, die mit dem
Trojaner "DoubleFantasy" infiziert war.
Kaspersky Lab schreibt es nicht direkt, deutet aber an, dass die Equation Group
staatliche Auftraggeber hat. Seit dem Jahr 2001 habe die Organisation vermutlich
zehntausende Opfer in über 30 Ländern aus folgenden Bereichen infiziert:
Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und
Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär,
Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport,
Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln.
Dafür setze die Gruppe eine riesige Infrastruktur mit mehr als 300 Domains und
über 100 Server ein. Ihre Standorte befänden sich unter anderem auch in den USA,
Großbritannien, Italien und Deutschland.
Für Sicherheitsexperte Claudio Guarnieri, der unter anderem an der Analyse der
Snowden-Dokumente mitarbeitete, steht "zu 100 Prozent" fest, dass die
Equation-Angriffe das Werk der NSA sind. Darauf deuteten die von Kaspersky Lab
genannten Werkzeuge der Hacker hin, die direkt oder indirekt dem
US-Sicherheitsdienst zuzuweisen seien, sagte er dem Magazin "Forbes". Die NSA
teilte mit, sie habe den Kaspersky-Bericht zur Kenntnis genommen, werde ihn aber
nicht öffentlich kommentieren oder Details diskutieren. Im Einklang mit der
Obama-Direktive zur Arbeit der US-Geheimdienste vom 17. Januar werde die USA,
seine Bürger und seine Verbündeten weiter vor Terrorismus und vielen weiteren
Bedrohungen schützen.
Quelle: n-tv.de , kwe
http://www.n-tv.de/technik/Maechtigste-Hacker-Gruppe-identifiziert-article14530541htmll