Equation Group
Equation Group (deutsch Gleichungsgruppe) ist eine Hackergruppe, die der US-amerikanischen National Security Agency (NSA) nahestehen soll. Die Existenz der Gruppe wurde im Februar 2016 vom russischen Sicherheitsunternehmen Kaspersky Lab bekanntgegeben. Nach Kaspersky verfügt die Gruppe über ein Arsenal hochentwickelter Schadsoftware, womit Regierungen, Unternehmen und Forschungseinrichtungen in über 30 Ländern weltweit angegriffen wurden. Kaspersky klassifizierte die Equation Group – so genannt wegen ihrer Vorliebe für ausgefeilte mathematische Verschlüsselungsmethoden – als Advanced Persistent Threat (APT, fortgeschrittene, andauernde Bedrohung).[1][2]
Entdeckung
Am 16. Februar 2015 berichtete das russische Sicherheitsunternehmen Kaspersky Lab auf dem „Kaspersky Security Analysts Summit“ in Mexiko von der Entdeckung einer Hackergruppe, der es den Namen „Equation Group“ gab. Nach Kaspersky war die Gruppe mindestens seit 2001 tätig – möglicherweise seit 1996 – und zählte mehr als 60 Aktive. Einige von der Gruppe benutzten Schadprogramme seien in der Lage, die Festplatten-Firmware verschiedener Hersteller zu infizieren, wodurch sie auch Formatierung der Platte und Neuinstallieren des Betriebssystems überleben. Derart komplexe Kenntnisse legen nahe, dass staatliche Geheimdienste beteiligt sind.[3]
Wahrscheinliche Verbindung zu Stuxnet und der NSA
Die Forscher von Kaspersky stellten 2015 fest, dass eines der Schadprogramme der Equation Group, dem sie den Namen „Grayfish“ gaben, Ähnlichkeiten mit einem anderen Schadprogramm namens „Gauss“ aus früheren Angriffen aufwies. Daneben benutzte die Equation Group zwei Zero-Day-Exploits (noch nicht geschlossene Sicherheitslücken), die später auch bei den Stuxnet-Attacken ausgenutzt wurden. Die Forscher schlossen daraus, dass die Equation Group und die Stuxnet-Entwickler entweder identisch sind oder eng zusammenarbeiten.[4]
Die Forscher fanden heraus, dass Schadsoftware der Equation Group in der Lage war, die Firmware der Festplattenlaufwerke einiger führender Hersteller zu infizieren und sich auch auf diese Weise zu verbreiten. Dazu konnten die Schadprogramme versteckte Bereiche auf den Festplatten anlegen und für ihre Zwecke nutzen. Für diese Fähigkeiten sind detaillierte Kenntnisse des Quellcodes der verschiedenen Hersteller nötig.[4]
Die NSA-Codewörter „STRAITACID“ und „STRAITSHOOTER“ wurden in der Schadsoftware der Equation Group gefunden. Zeitstempel, die ebenfalls in der Schadsoftware entdeckt wurden, scheinen zu belegen, dass die Programmierer überwiegend montags bis freitags zwischen 8 und 17 Uhr (Eastern Standard Timezone, EST) arbeiteten.[5]
In Schadsoftware der Equation Group aus dem Jahr 2008 wurden von Kaspersky-Forschern Teile des Stuxnet-Wurms gefunden, also zwei Jahre bevor Stuxnet entdeckt wurde.[6]
Die finnische Sicherheitsfirma F-Secure berichtete, dass die Schadsoftware der Equation Group zur Infizierung von Festplatten-Firmware aus dem NSA-Katalog für fortgeschrittene Netzwerktechnologie stammt, den Der Spiegel 2013 öffentlich machte[7] und wo sie unter dem Namen „IRATEMONK“ erscheint.[8]
Equation Group gehackt
Im August 2016 meldete die Hackergruppe The Shadow Brokers, sie habe Schadsoftware der Equation Group gestohlen, und bot diese zum Kauf an.[9] Edward Snowden spekulierte, dass die Shadow Brokers russischen Geheimdiensten nahesteht.[10]
Siehe auch
Weblinks
- Equation Group: Questions and Answers, Kaspersky Lab, Version: 1.5, Februar 2015 (englisch)
- A Fanny Equation: „I am your father, Stuxnet“, Kaspersky Lab, Februar 2015 (englisch)
Einzelnachweise
- Martin Holland: Equation Group: „Höchstentwickelte Hacker der Welt“ infizieren u. a. Festplatten-Firmware. Heise online, 17. Februar 2015
- Sicherheitsforscher analysieren mutmaßliches NSA-Werkzeug. Spiegel Online, 11. März 2015
- GReAT, Kaspersky Lab’s Global Research & Analysis Team: Equation: The Death Star of Malware Galaxy (Memento vom 17. Februar 2015 im Internet Archive). securelist.com, 16. Februar 2015 (englisch)
- GReAT, Kaspersky Lab’s Global Research & Analysis Team: Equation Group: Questions and Answers (Memento vom 17. Februar 2015 im Internet Archive). Version 1.5, securelist.com, Februar 2015 (englisch)
- Dan Goodin: New smoking gun further ties NSA to omnipotent „Equation Group“ hackers. Ars Technica, 11. März 2015 (englisch)
- A Fanny Equation: „I am your father, Stuxnet“. Kaspersky Lab, 17. Februar 2015 (englisch)
- Jacob Appelbaum, Judith Horchert, Ole Reißmann, Marcel Rosenbach, Jörg Schindler und Christian Stöcker: Der geheime Werkzeugkasten der NSA. Spiegel Online, 30. Dezember 2013
- The Equation Group Equals NSA / IRATEMONK. F-Secure Weblog : News from the Lab, 17. Februar 2015 (englisch)
- Dennis Schirrmacher: Angebliche Hacker-Waffen der NSA zum Verkauf Heise online, 16. August 2016
- Matt Burgess: Hacking the hackers: everything you need to know about Shadow Brokers‘ attack on the NSA. Wired, 18. April 2017 (englisch)