Equation Group Değerlendirme Raporu

Transkript

1

2 20 Şubat 2015 Değerli Müşterimiz, Barikat ArGe olarak; bilişim güvenliği alanında önemli bulduğumuz çalışmaları Türkiye yerel parametreleri dikkate alarak değerlendiriyor ve yorumluyoruz. Bu dokümanımızda; Equation Group hacker grubunu yorumlamaya çalıştık. Raporun kaynağı olarak Equation Group adlı siber casusluk örgütünün varlığını tespit eden, Kaspersky Lab tarafından oluşturulmuş Equation Group: Questions and Answers adlı doküman kullanılmıştır. Yorumlarımızın sizlere yararlı olacağını umar, keyifli bir okuma dileriz. Saygılarımızla, Barikat Bilişim Güvenliği ArGe Birimi İletişim Adresi: Mutlukent Mahallesi, cadde No: 9 / A-1 PK: Ümitköy, Ankara, Türkiye Telefon : Faks : Web Sitesi : Eposta : bilgi@barikat.com.tr 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

3 -BOŞ BIRAKILMIŞTIR- 2 BARİKAT BİLİŞİM GÜVENLİĞİ 2/21

4 İÇİNDEKİLER 1 Yönetici Özeti Analiz Sonuçlar Referanslar... 5 Ek-A İstila Emareleri (IOC)... 0 İLETİŞİM BİLGİLERİ BARİKAT BİLİŞİM GÜVENLİĞİ 3/21

5 1 Yönetici Özeti Bu raporumuzda, bir çok kuruluş tarafından tarihin en karmaşık yapısına sahip olduğu düşünülen Equation Group adlı siber casusluk grubunu incelemeye çalıştık. Düşmanını tanı prensibinden yola çıkılarak hazırlanan bu raporda, Equation Group tarafından oluşturulmuş zararlı yazılımlardan, grubun faaliyetlerinden bahsedilmiş ve yazının sonunda saldırıları tespit etmede kullanılabilecek İstila Emareleri (IOC) belirtilmiştir. Barikat Ar-Ge departmanı tarafından 2014 yılında yayınlanan Verizon DBIR-2014 Değerlendirme Raporunda 1 ve 2014 yılı Aralık ayında gerçekleştirilen Barikat 2015 Etkinliğinde 2, önemle vurgulanan konulardan bir tanesi de Siber Casusluk faaliyetlerinin yükselişte olduğu idi. Bir çok kaynağa göre bu grup, kullanmakta oldukları ileri düzey teknik, beceriler ve araçlar dolayısıyla bir yabancı devlet tarafından desteklenmekte veya direk olarak o ülkenin istihbarat servisi altında çalışmakta. Eğer kaynakların belirtmiş olduğu varsayımlar doğru ise, bilişim güvenliği alanında şimdiye kadar karşılaşılan bu en ciddi ve kapsamlı siber casusluk faaliyeti yaklaşık 14 yıldır devam etmektedir. Türkiye, yayınlanan rapora göre, bu siber casusluk olayından etkilenen ülkelerden bir tanesidir. Durumun ciddiyetini vurgulamak açısından, fiziksel teslimat aşamasında yer alan ürünlerin dahi içerisine müdahale ederek zararlı yazılım yükleyebilen bu grup, bilgi toplama, uzaktan erişim ve sistemlerin kontrolü gibi ileri seviye faaliyetler gerçekleştirebilmektedir. Yine bu grup, çok bilinen bazı disk üreticilerinin bellenim (firmware) yapılarına müdahale ederek, askeri yöntemlerle disk sıfırlama işlemlerini bile atlatabilecek uygulamaları ile, veri sızıntısına neden olabilecek faaliyetler gerçekleştirebildikleri çeşitli raporlarda yer almaktadır. Kaspersky raporunda belirtilen bu mevzuların, henüz ilgili üretici, kurum ve kuruluşlar tarafından doğrulanmadığını belirtmekle birlikte, her ihtimale karşı bu raporda bahsi geçen güvenlik durumlarının bizleri ne kadar etkileyebileceğinin incelenmesi millî menfaatlerimiz açısından faydalı olacaktır. Bu grubun oluşturmuş olduğu tahmin edilen uygulamalar ile ilgili İstila Emarelerini (IOC) de bu raporun ekler kısmında bulabilirsiniz. İyi okumalar dileriz BARİKAT BİLİŞİM GÜVENLİĞİ 4/21

6 2 Analiz Equation Group Equation Group (EG); 1996 ila 2001 yılları arasında oluşturulduğu düşünülen, yüksek seviyede araç, teknik ve süreçlere (TTP) sahip sofistike bir siber casusluk ekibidir. Bu isim ekibe Kaspersky Lab tarafından verilmiş olup, bu ismin seçilme nedeni olarak ekibin sıklıkla kullanmakta olduğu şifreleme algoritmaları ve şaşırtma stratejileri gösterilmektedir. Ayrıca Kaspersky, EG nin şimdiye kadar rastlamış oldukları en sofistike siber atak grubu olduğunu belirtmektedir. Araçlar EG tarafından kullanıldığı tespit edilen bir takım yazılımlardan bahsetmek gerekirse: EquationDrug DoubleFantasy Equestre TripleFantasy GrayFish Fanny EquationLaser Şekil-1 Equation Group Zararlı Yazılım Ailesi 5 BARİKAT BİLİŞİM GÜVENLİĞİ 5/21

7 Bu zararlı uygulamalardan en önemlilerinden kısaca bahsetmek gerekirse: EquationDrug 2013 sonrasında GrayFish ile değiştirilen EquationDrug, EG nin en karmaşık casusluk platformlarından bir tanesidir. İlk başta DoubleFantasy (bu yazılımın Mac OS X için geliştirilmiş sürümüne de rastlanmıştır) bulaştırılan kurban, eğer ilgi çekici özelliklere (kritik verilere vb.) sahip ise EquationDrug yüklenerek işletim sisteminin tam olarak kontrolü ele geçirilmektedir. Bu noktadan sonra istenilen eklentiler ilgili sisteme yüklenerek kurban üzerinde her türlü faaliyet gerçekleştirilebilmektedir. Şekil-2 EquationDrug bulaşma döngüsü EquationDrug Windows 95/98/ME/XP/2003 işletim sistemlerinde çalışmaktadır. Eğer işletim sistemi Windows 7 ve sonrası ise saldırganlar TripleFantasy veya GrayFish platformlarını kullanmaktadır. Ayrıca bu yazılım kendini belli bir süre sonra imha etme (C2 ile irtibat kuramama durumda tespit edilmemek açısından) özelliğine de sahiptir. GrayFish EG nin; tüm yeni nesil Windows işletim sistemlerinde çalışan, tespit edilmesi çok zor, gizli bir depolama alanında yer alan, kod çalıştırmaya imkan veren en modern ve karmaşık siber casusluk uygulamasıdır. GrayFish; bulaştığı bilgisayarın açılış aşamasında kendini boot record alanına enjekte ederek adım adım tüm aşamaları kontrolü altına alabilmektedir. Bu şekilde işletim sistemi ile ilgili her türlü kontrolü de eline alabilmektedir. Bootkit ile kullanılarak tüm bilgileri şifreleyip registry de tutabilen yapısı sayesinde antivirüs ürünleri tarafından da yakalanamamaktadır. 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

8 Fanny EG tarafından oluşturulan ve Ortadoğu ve Asya ülkelerine dağıtılan Fanny worm u iki adet sıfır-gün exploit içermektedir. Burada önemli olan nokta; bu iki exploit in Stuxnet te bile kullanılmadan önce Fanny de kullanılmasıdır. Bu durumda akla, Stuxnet i geliştirenler ile bu grubun aynı kişiler olma ihtimali gelmektedir. Fanny; hava-boşluklu sistemlerden dahi veri sızdırılmasına yarayan bir uygulamadır. Bir USB belleğe bulaşan bu uygulama; internet bağlantısı olmayan bir sunucuya bağlandığında durumu algılamakta ve sistem bilgilerini kendi şifreli ve gizli alanına kopyalamaktadır. Eğer üzerine belirli komutlar girilmiş ise bu komutları çalıştırmakta ve sonuçlarını yine üzerine yazabilmektedir. Daha sonra bu USB bellek internet bağlantısı olan bir sisteme bağlandığında, üzerindeki bilgileri C2 sitesine gönderebilmektedir. Equation Group; kurbanlara erişim için çeşitli kanallar kullanmaktadır. Bunlar: Worm Fiziksel medya, CD-ROM USB bellekler + exploitler Web tabanlı exploitler Bu kanallardan en ilginç olanı ise, CD-ROM ların exploit edilmesidir. Gönderi halindeki fiziksel CD- ROMlar yolda trojanlı sürümleri ile değiştirilmekte ve kurbanlara gönderilmektedir! Bunun tam olarak nasıl başarıldığı bilinmemekle birlikte EquationLaser içeren bir Oracle yükleme CD si bile tespit edilmiştir. Yine önemli saldırı tekniklerinden bir tanesi de; EG nin; disk formatlama işlemlerinden korunmasını sağlayan ve kendine gizli bir alan oluşturan HDD firmware lerini yeniden programlama eklentisidir. Bu eklenti son derece nadir olmakla birlikte çok az rastlandığı için sadece çok özel durumlarda kullanıldığı düşünülmektedir. Bu eklentinin yeni sürümü aşağıdaki sınıfları programlayabilmektedir: WDC WD, <Western Digital Technologies Inc> additional vendor specific checks used ST, Maxtor STM, SEAGATE ST, <Seagate Technology> SAMSUNG, <SAMSUNG ELECTRONICS CO., LTD.> WDC WD, <Western Digital Technologies, Inc.> additional vendor specific checks used <HGST a Western Digital Company>, IC, IBM, Hitachi, HTS, HTE, HDS, HDT, ExcelStor Max, Maxtor STM <MICRON TECHNOLOGY, INC.>, C300, M4 <HGST a Western Digital Company>, <TOSHIBA CORPORATION> OCZ, OWC, Corsair, Mushkin additional vendor specific checks used <Samsung Electronics Co., Ltd., Storage System Division>, <Seagate Technology>, <SAMSUNG ELECTRONICS CO., LTD.> +additional checks <TOSHIBA CORPORATION COMPUTER DIVISION>, TOSHIBA M +checks <Seagate Technology>, ST 2 BARİKAT BİLİŞİM GÜVENLİĞİ 2/21

9 EG tarafından C2 olarak kullanılan 300 den fazla etki alanı ve 100 den fazla sunucu tespit edilmiştir. Bu sunucular dağıtık yapıda birden çok ülkede barındırılmaktadır. Diğer bir vurgulanması gereken önemli konu ise; EG nin belirli bölgelerden gelen ziyaretçileri etkileyecek php tabanlı sitelere betik yüklemeleridir. Bu betik sayesinde ilgili siteyi ziyaret eden oturum açmış kullanıcılara zararlı yazılım bulaşarak kontrol elde edilebilecektir. Bu betik ayrıca iphone larda da çalışacak şekilde de tasarlanmıştır. İlgili yazılımın bulaşması için yazılan betikte, kasıtlı olarak exploit edilmeyecek üç ülkenin IP blokları tespit edilmiştir. Bu ülkeler Ürdün, Türkiye ve Mısır dır. Yani bu ülkelere exploit bulaşmaması için özel yapılandırma yapılmıştır. Equation Group kurbanlarının dağılımı aşağıdaki şekilde gösterilmiştir. Şekil-3 Equation Group kurban haritası Türkiye bu listede düşük seviyedeymiş gibi görünse de, EG yazılım ve eklentilerinin kendini imha mekanizmasına sahip olmasından dolayı, tespit edilmemiş olma ihtimali unutulmamalıdır. İlgili grubun yaklaşık olarak 15 senedir faaliyet yürüttüğünü de göz önünde bulundurursak Türkiye dekiler de dahil olmak üzere binlerce faaliyet göstermiş olmaları ihtimali göz ardı edilemez bir gerçektir. 3 BARİKAT BİLİŞİM GÜVENLİĞİ 3/21

10 3 Sonuçlar Yukarıda anlatmaya çalıştığımız gibi, Equation Group son derece tehlikeli ve karmaşık olmakla beraber ulusal bir siber casusluk örgütü emareleri göstermektedir. Bu örgüt tarafından gerçekleştirilen faaliyetlere maruz kalınıp kalınmadığını, halen bu tür faaliyetlerin sistemimizde gerçekleşip gerçekleşmediğini anlamaya yönelik, Ek-A da belirtilen istila emareleri ile ilgili çalışmaların bir an önce gerçekleştirilmesi önemlidir. Öncelikli olarak hızlı bir kontrol açısından, Ek-A da tanımlı IP ve etki alanlarına içeriden herhangi bir erişim olup olmadığını tespit etmeye yönelik sorgular, güvenlik duvarı veya yönlendiriciler üzerinden gönderilebilir. Yine Ek-A da belirtilmiş zararlı yazılımların MD5 değerleri, son kullanıcı AV, HIPS vb. ürünleri üzerinde tanımlanıp, bu uygulamaların varlığı hakkında bilgi edinme ve engelleme işlemleri gerçekleştirilebilir. Diğer raporlarımızda da önerdiğimiz gibi; Barikat olarak inancımız, güvenliği bütünsel olarak ele alacak bir güvenlik metodolojisi oluşturmak gerektiği yönündedir. Bu metodoloji ile atılması gereken adımlar önceliklendirilmeli ve bu adımların mümkün olduğunca otomasyonu sağlanmalıdır. Barikat ArGe olarak bu metodolojik yaklaşım ile oluşturduğumuz Barikat Güvenlik Kontrolleri (BGK) bir çok alt kontrol içermektedir. BGK uygulandığında, ilgili kurumun güvenlik seviyesinde %90 lara varan bir iyileşme olması öngörülmektedir. BGK hakkında detaylı bilgi almak için müşteri yöneticiniz ile iletişime geçebilirsiniz. 4 BARİKAT BİLİŞİM GÜVENLİĞİ 4/21

11 4 Referanslar years-and-were-found-at-last/ BARİKAT BİLİŞİM GÜVENLİĞİ 5/21

12 Ek-A İstila Emareleri(IOC) İsim EquationLaser MD5 752af597e6d9fd70396accc0b9013dbe Tip EquationLaser installer Derlenme Mon Oct 18 15:24: İsim Disk from Houston "autorun.exe" with EoP exploits MD5 6fe6c03b938580ebf9b82f3b9cd4c4aa Tip EoP package and malware launcher Derlenme Wed Dec 23 15:37: İsim DoubleFantasy MD5 2a12630ff976ba ca93fecd17f Tip DoubleFantasy installer Derlenme Fri Apr 30 01:03: İsim EquationDrug MD5 4556ce5eb007af1de5bd3b457f0b216d Tip EquationDrug installer ("LUTEUSOBSTOS") Derlenme Tue Dec 11 20:47: İsim GrayFish MD5 9b1ca66aab784dc5f1dfe635d8f8a904 Tip GrayFish installer Derlenme Compiled: Fri Feb 01 22:15: (installer) İsim Fanny MD5 0a209ac0de4ac033f31d6ba9191a8f7a Tip Fanny worm Derlenme Mon Jul 28 11:11: İsim TripleFantasy MD5 9180d5affe1e5df0717d7385e7f54386 loader (17920 bytes.dll) Tip ba39212c5b58b97bfc9f5bc encrypted payload (.DAT) Derlenme various, possibly fake İsim _SD_IP_CF.dll - unknown MD de33dd0b8f4f18cffd488 Tip DoubleFantasy installer + LNK exploit package Derlenme Fri Feb 13 10:50:

13 İsim nls_933w.dll MD5 11fb08b9126cdb4668b3f5135cf7a6c5 Tip HDD reprogramming module Derlenme Tue Jun 15 20:23: Name standalonegrok_ / GROK MD5 24a6ec8ebf9c0867ed1c097f4a653b8d Type GROK keylogger Compiled Tue Aug 09 03:26: Komuta Kontrol Sistemleri DoubleFantasy: advancing-technology.com avidnewssource.com businessdealsblog.com businessedgeadvance.com charging-technology.com computertechanalysis.com config.getmyip.com globalnetworkanalys.com melding-technology.com myhousetechnews.com newsterminalvelocity.com selective-business.com slayinglance.com successful-marketing-now.com taking-technology.com techasiamusicsvr.com - technicaldigitalreporting.com timelywebsitehostesses.com EquationLaser: lsassoc.com gar-tech.com Fanny: webuysupplystore.mooo.com 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

14 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1 EquationDrug: newjunk4u.com easyadvertonline.com newip427.changeip.net - ad-servicestats.net subad-server.com ad-noise.net ad-void.com aynachatsrv.com damavandkuh.com fnlpic.com monster-ads.net nowruzbakher.com sherkhundi.com quik-serv.com nickleplatedads.com arabtechmessenger.net amazinggreentechshop.com foroushi.net technicserv.com goldadpremium.com honarkhaneh.net parskabab.com technicupdate.com technicads.com customerscreensavers.com darakht.com ghalibaft.com adservicestats.com 247adbiz.net webbizwild.com roshanavar.com afkarehroshan.com thesuperdeliciousnews.com adsbizsimple.com goodbizez.com meevehdar.com xlivehost.com gar-tech.com downloadmpplayer.com honarkhabar.com techsupportpwr.com webbizwild.com zhalehziba.com serv-load.com wangluoruanjian.com islamicmarketing.net noticiasftpsrv.com coffeehausblog.com platads.com havakhosh.com toofanshadid.com bazandegan.com sherkatkonandeh.com mashinkhabar.com quickupdateserv.com rapidlyserv.com GrayFish: ad-noise.net business-made-fun.com businessdirectnessource.com charmedno1.com cribdare2no.com dowelsobject.com following-technology.com forgotten-deals.com functional-business.com housedman.com industry-deals.com listennewsnetwork.com

15 phoneysoap.com posed2shade.com quik-serv.com rehabretie.com speedynewsclips.com teatac4bath.com unite3tubes.com unwashedsound.com TripleFantasy: arm2pie.com brittlefilet.com cigape.net crisptic01.net fliteilex.com itemagic.net micraamber.net mimicrice.com rampagegramar.com rubi4edit.com rubiccrum.com rubriccrumb.com team4heat.net tropiccritics.com Equation Group exploit sunucuları: standardsandpraiserepurpose.com suddenplot.com technicalconsumerreports.com technology-revealed.com Zararlı yazılım konfigürasyon bloklarındaki kodlanış IP ler BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

16 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1 Kaspersky ürünleri tespit isimleri: Backdoor.Win32.Laserv Backdoor.Win32.Laserv.b Exploit.Java.CVE ad HEUR:Exploit.Java.CVE gen HEUR:Exploit.Java.Generic HEUR:Trojan.Java.Generic HEUR:Trojan.Win32.DoubleFantasy.gen HEUR:Trojan.Win32.EquationDrug.gen HEUR:Trojan.Win32.Generic HEUR:Trojan.Win32.GrayFish.gen HEUR:Trojan.Win32.TripleFantasy.gen Rootkit.Boot.Grayfish.a Trojan-Downloader.Win32.Agent.bjqt Trojan.Boot.Grayfish.a Trojan.Win32.Agent.ajkoe Trojan.Win32.Agent.iedc Trojan.Win32.Agent2.jmk Trojan.Win32.Diple.fzbb Trojan.Win32.DoubleFantasy.a Trojan.Win32.DoubleFantasy.gen Trojan.Win32.EquationDrug.b Trojan.Win32.EquationDrug.c Trojan.Win32.EquationDrug.d Trojan.Win32.EquationDrug.e Trojan.Win32.EquationDrug.f Trojan.Win32.EquationDrug.g Trojan.Win32.EquationDrug.h Trojan.Win32.EquationDrug.i Trojan.Win32.EquationDrug.j Trojan.Win32.EquationDrug.k Trojan.Win32.EquationLaser.a Trojan.Win32.EquationLaser.c Trojan.Win32.EquationLaser.d Trojan.Win32.Genome.agegx Trojan.Win32.Genome.akyzh Trojan.Win32.Genome.ammqt Trojan.Win32.Genome.dyvi Trojan.Win32.Genome.ihcl Trojan.Win32.Patched.kc Trojan.Win64.EquationDrug.a Trojan.Win64.EquationDrug.b Trojan.Win64.Rozena.rpcs Worm.Win32.AutoRun.wzs

17 Yara kuralları: rule apt_equation_exploitlib_mutexes { meta: copyright = "Kaspersky Lab" description = "Rule to detect Equation group's Exploitation library" version = "1.0" last_modified = " " reference = " strings: $mz="mz" $a1="prkmtx" wide $a2="cnformsyncexfbc" wide $a3="cnformvoidfbc" wide $a4="cnformsyncexfbc" $a5="cnformvoidfbc" condition: (($mz at 0) and any of ($a*)) } rule apt_equation_doublefantasy_genericresource { meta: copyright = "Kaspersky Lab" description = "Rule to detect DoubleFantasy encoded config" version = "1.0" last_modified = " " reference = " 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

18 strings: $mz="mz" $a1={ E } $a2="yyyyyyyyyyyyyyyy" $a3="002" condition: (($mz at 0) and all of ($a*)) and filesize < } rule apt_equation_equationlaser_runtimeclasses { meta: copyright = "Kaspersky Lab" description = "Rule to detect the EquationLaser malware" version = "1.0" last_modified = " " reference = " strings: $a1="?a _2@@yaxxz" $a2="?a84884@@yaxxz" $a3="?b823838_9839@@yaxxz" $a4="?e747383_94@@yaxxz" $a5="?e83834@@yaxxz" $a6="?e929348_827@@yaxxz" condition: any of them } 2 BARİKAT BİLİŞİM GÜVENLİĞİ 2/21

19 rule apt_equation_cryptotable { meta: copyright = "Kaspersky Lab" description = "Rule to detect the crypto library used in Equation group malware" version = "1.0" last_modified = " " reference = " strings: $a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C D 19 4B C E2 0D 5C 1C 7B C4 FF D F E 41 DA 8F 7D DE 7E 99 F1 35 AC B CE EB 2B D F3 B0 F7 78 D7 4C D1 55 1A FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1} condition: } $a 3 BARİKAT BİLİŞİM GÜVENLİĞİ 3/21

20 İLETİŞİM BİLGİLERİ İletişim Adresi: Mutlukent Mahallesi, cadde No: 9 / A-3 PK: Ümitköy, Ankara, Türkiye Telefon : Faks : Web Sitesi : Eposta : bilgi@barikat.com.tr 4 BARİKAT BİLİŞİM GÜVENLİĞİ 4/21

21 5 BARİKAT BİLİŞİM GÜVENLİĞİ 5/21