Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/2/2015
Sikkerhedsforskere har fundet en række skadelige programmer, der ser ud til at være skrevet af folk med forbindelse til dem, der skrev Stuxnet og Flame. To af programmerne kan ændre firmwaren i harddisken på den inficerede computer.Sikkerhedsfirmaet Kaspersky kalder gruppen for Equation Group. De har fundet tegn på, at den har været aktiv siden 2001, muligvis siden 1996.
Gruppen har primært brugt sine skadelige programmer til spionage. Ofrene er således offentlige myndigheder, energiselskaber, uddannelsesinstitutioner, ambassader, teleselskaber og medieorganisationer. Ofrene kommer især fra Rusland, Iran, Pakistan, Afghanistan, Indien og Kina.
Kaspersky har ikke før set malware, der er i stand til at omprogrammere firmwaren på harddiske. Det gør det muligt at skjule skadelige programmer på harddisken. Selv hvis man reformaterer harddisken, ligger programmet der fortsat.
Nogle af gruppens programmer udnyttede de samme sårbarheder som ormen Stuxnet, før den gjorde det. Det tyder på, at udviklerne er de samme eller udveksler informationer indbyrdes.
Kaspersky har også fundet lighedstræk mellem Equation Groups malware og platformene Flame og Gauss.
Stuxnet blev brugt til at sabotere det iranske atomprogram.
Kaspersky kender ikke til angreb på danske organisationer.
Links
- Massive, Decades-Long Cyberespionage Framework Uncovered, artikel fra Kaspersky Threatpost
- Equation: The Death Star of Malware Galaxy, rapport fra Kaspersky
- Equation Group: Questions and answers, rapport fra Kaspersky
- NSA compromised hard disk firmware to spread spookware: Kaspersky, artikel fra The Register