Equation Group
Cyberspione schnüffeln seit zwei Jahrzehnten bei Regierungen
Die Sicherheitsexperten von Kaspersky haben eine Gruppe von Cyberspionen entdeckt, die schon seit fast zwei Jahrzehnten aktiv ist und ausgesprochen fortschrittliche Methoden nutzt. Verbindungen zu US-Geheimdiensten gelten als wahrscheinlich.
Unter dem Namen »Equation Group« hat Kaspersky zahlreiche Akteure zusammengefasst, die seit Jahren bei Regierungen, Militär, Unternehmen und anderen Organisationen in über 30 Ländern spionieren. Sie sind für mehrere äußerst fortschrittliche Schadprogramme verantwortlich, die den Sicherheitsexperten zufolge »sehr kompliziert und kostenintensiv zu entwickeln sind«. Bei Kaspersky spricht man von »der Mutter der Cyberspionage« und attestiert den Hackern, »hinsichtlich technischer Komplexität und Raffinesse alles bisher Bekannte in den Schatten« zu stellen.
Als stärkste Tools der Equation Group haben die Sicherheitsexperten zwei Module ausgemacht, mit denen sich die Firmware von Festplatten umschreiben lässt. Es ist die erste Malware, die so etwas beherrscht und dadurch selbst eine Formatierung der Festplatte oder Neuinstallation des Betriebssystems überlebt. Man sei praktisch blind und könne mit dieser Malware infizierte Platten nicht erkennen, sagt Costin Raiu, Director des Global Research and Analysis Team von Kaspersky.
Ein anderer Schädling aus dem Arsenal der Equation Group ist speziell dafür gebaut, isolierte Netzwerke zu infizieren, die keine Verbindung zum Internet haben. Er wird nicht nur über USB-Sticks eingeschleust, sondern versteckt auf den Sticks auch die Daten, die er gesammelt hat. Wird der Stick zu einem späteren Zeitpunkt an einen Rechner gesteckt, der mit dem Internet verbunden ist, werden die Daten verschickt. Auf umgekehrtem Wege können die Hacker ihrer Malware auch neue Befehle zukommen lassen.
Dass US-Geheimdienste hinter der Equation Group stecken oder mit ihr zusammenarbeiten, behauptet Kaspersky zwar nicht. Allerdings haben die Sicherheitsexperten zuverlässige Hinweise darauf gefunden, dass die Equation Group mit den Betreibern von Stuxnet und Flame in Verbindung steht. Sie nutzte dieselben Zero-Day-Exploits, und das schon deutlich früher. Da Stuxnet wohl von den USA und Israel eingesetzt wurde, um iranische Atomanlagen zu attackieren, deutet also einiges darauf hin, dass NSA & Co. mit der Equation Group zumindest zu tun haben.
Dafür spricht auch, dass die Hacker offenbar nicht nur umfangreiche Ressourcen und fortschrittliches Know-how haben, sondern auch dass sie schon Jahrzehnte aktiv sind. Einige Malware-Samples wurden 2002 kompiliert, die zugehörigen Command-and-Control-Server schon 2001 in Betrieb genommen. Andere C&C-Server sind offenbar schon seit 1996 aktiv – fast zwei Jahrzehnte. Insgesamt nutzt die Equation Group laut Kaspersky eine »riesige C&C-Infrastruktur«, zu der mehr als 300 Domains und über 100 Server zählen.
Lesen Sie mehr zum Thema
