The Equation Group

The-Equation-Group

The Equation Group

Kaspersky ha scoperto un enorme “magazino” di malware utilizzato per infettare migliaia di computer in oltre 30 paesi. La software house russa ha individuato anche i responsabili degli attacchi contro vittime di alto profilo che lavorano in svariati settori: The Equation Group. Il gruppo di cybercriminali, probabilmente finanziato dai governi, sfrutta diverse tecniche per installare spyware nei sistemi target, alcuni dei quali nascosti nei firmware degli hard disk.

Già nel dicembre 2013, il settimanale tedesco Der Spiegel aveva individuato l’esistenza di una serie di  strumenti hardware e software che permetterebbero alla NSA di intercettare le comunicazioni degli utenti. Uno dei metodi prevedeva l’installazione di malware e backdoor nei firmware degli hard disk. Le fonti contattate dalla Reuters, tra cui un ex dipendente, confermano che dietro The Equation Group si cela proprio l’agenzia statunitense.

Secondo Kaspersky, il gruppo opera da almeno 13 anni, durante i quali ha sviluppato  tecniche e malware di una complessità mai vista finora. Tra i tool che compongono la suite di spyware, il più potente è quello che permette di riprogrammare il firmware degli hard disk prodotti da Western Digital, Seagate, Samsung, Toshiba e Hitachi. Il codice infetto non può essere rilevato e cancellato in nessun modo, tanto meno con la formattazione del disco. Il malware, caricato in un’area nascosta, permette oltre all’appropriazione delle informazioni riservate anche di eludere la crittografia usata per proteggere il contenuto stesso del disco.

I dati raccolti dagli spyware vengono inviati ad oltre 100 server ospitati in vari paesi, tra cui l’Italia. Considerata la complessità degli attacchi è probabile che i cybercriminali siano venuti in possesso del codice sorgente dei firmware. Alcuni produttori hanno negato di aver consegnato il codice alla NSA o ad altre agenzie. Per “corrompere” gli hard disk, The Equation Group pare abbia inviato comandi remoti via web oppure intercettato i prodotti in consegna (conoscendo il destinatario) e sostituito i dischi con unità infette.

Condividi questo post

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.