Equation Group
קבוצת המשוואה (Equation Group) היא קבוצת תקיפת סייבר מתקדמת החשודה בקשר ל-NSA. היא נחשבת לאחת המתוחכמות בעולם.
קבוצת המשוואה (באנגלית: Equation Group, ידועה בסין גם כ-APT-C-40) היא קבוצת תקיפת סייבר מתוחכמת במיוחד, אשר על פי החשד קשורה ליחידת המבצעים המותאמים (TAO) של הסוכנות לביטחון לאומי של ארצות הברית (NSA). מעבדות קספרסקי (Kaspersky Labs) מתארות אותה כאחד מאיומי הסייבר המתקדמים והמתמשכים (APT) המתוחכמים ביותר בעולם ו"המתקדמת ביותר (...) שראינו", הפועלת לצד היוצרים של הנוזקות סטקסנט (Stuxnet) ופליים (Flame). רוב המטרות של הקבוצה היו באיראן, רוסיה, פקיסטן, אפגניסטן, הודו, סוריה ומאלי.
שם הקבוצה נגזר מהשימוש הנרחב שלה בשיטות הצפנה מורכבות. עד שנת 2015, קספרסקי תיעדו כ-500 הדבקות בנוזקות של הקבוצה בלפחות 42 מדינות, תוך ציון שהמספר האמיתי עלול להגיע לעשרות אלפים, בשל פרוטוקול ההשמדה העצמית של הנוזקות.
בשנת 2017, אתר ויקיליקס פרסם דיון פנימי של ה-CIA שדן בשאלה כיצד התאפשר זיהויה של הקבוצה. אחד המשתתפים בדיון כתב כי "קבוצת המשוואה, כפי שהיא מתוארת בדוח, אינה מתייחסת לקבוצה ספציפית, אלא לאוסף של כלים" המשמשים לפריצות סייבר.
גילוי
במהלך כנס ניתוח האבטחה של קספרסקי שנערך במקסיקו ב-16 בפברואר 2015, הכריזה מעבדת קספרסקי על גילויה של "קבוצת המשוואה". על פי הדוח שפרסמה, הקבוצה פעילה לפחות מאז שנת 2001 ומונה יותר מ-60 פעילים (actors). הנוזקות ששימשו במבצעיה, שקיבלו את הכינויים EquationDrug ו-GrayFish, התגלו כבעלות יכולת לתכנת מחדש את קושחת (firmware) הכוננים הקשיחים. בשל הטכניקות המתקדמות המעורבות ורמת החשאית הגבוהה, עלה החשד לקשרים ל-NSA, אך קספרסקי נמנעו מלזהות במפורש את הגורמים העומדים מאחורי הקבוצה.
קשרים אפשריים לסטקסנט ול-NSA
ממצאי המחקר של קספרסקי משנת 2015 ציינו כי לטוען (loader) של הקבוצה, "GrayFish", יש דמיון לטוען שהתגלה בעבר בשם "Gauss" מסדרת תקיפות אחרת. בנוסף, צוין כי קבוצת המשוואה השתמשה בשתי פרצות "יום אפס" (zero-day) ששימשו מאוחר יותר בסטקסנט. החוקרים הסיקו כי "השימוש הדומה בשתי הפרצות יחד, בתולעי מחשב שונות, בערך באותו הזמן, מצביע על כך שקבוצת המשוואה ומפתחי סטקסנט הם או אותו גורם, או שהם עובדים בשיתוף פעולה הדוק".
קושחה
החוקרים זיהו גם כי פלטפורמת התקיפה הופצה לעיתים באמצעות יירוט פיזי (interdiction) של משלוחי דואר לגיטימיים, כמו תקליטורים שנשלחו על ידי מארגן כנס מדעי. לפלטפורמה הייתה יכולת "חסרת תקדים" להדביק כוננים קשיחים ולהפיץ את עצמה דרך קושחת הכונן של מספר יצרניות מובילות. היא יכלה ליצור ולהשתמש באזורים נסתרים על הדיסק ובמערכות דיסק וירטואליות למטרותיה – יכולת שכדי להשיגה נדרשת גישה לקוד המקור של היצרניות. הכלי תוכנן לפעול בדיוק כירורגי, עד כדי כך שיכל להימנע ממדינות מסוימות על בסיס כתובות IP ואף לכוון למשתמשים ספציפיים בפורומים מקוונים.
שמות קוד וחתימות זמן
בתוך קוד הנוזקה נמצאו שמות הקוד של ה-NSA: "STRAITACID" ו-"STRAITSHOOTER". בנוסף, ניתוח חתימות הזמן בקוד הראה כי המתכנתים עבדו בעיקר בימים שני עד שישי, בשעות המקבילות לשעות העבודה המקובלות (08:00–17:00) באזור הזמן של מזרח ארצות הברית, מה שהצביע על מקור הפעילות.
הקשר ל-IRATEMONK
חברת האבטחה F-Secure טוענת כי נוזקת הקושחה של קבוצת המשוואה היא למעשה תוכנית של יחידת TAO בשם "IRATEMONK", אחד הכלים שנחשפו בקטלוג ה-NSA ANT במאמר של "דר שפיגל" בשנת 2013. IRATEMONK מעניקה לתוקף את היכולת להתקין תוכנה באופן קבוע על מחשבים נייחים וניידים, גם אם הכונן מפורמט, המידע נמחק או מערכת ההפעלה מותקנת מחדש. הנוזקה מדביקה את קושחת הכונן הקשיח, שבתורה מוסיפה פקודות לרשומת האתחול הראשית (MBR), הגורמות להתקנת התוכנה מחדש בכל פעם שהמחשב מופעל. היא מסוגלת להדביק כוננים קשיחים של היצרניות סיגייט, מקסטור, וסטרן דיגיטל, סמסונג, יבמ, מיקרון וטושיבה.
הפריצה לקבוצה ב-2016
באוגוסט 2016, קבוצת האקרים שכינתה את עצמה "The Shadow Brokers" ("סוחרי הצללים") הודיעה כי גנבה קוד נוזקות השייך לקבוצת המשוואה. מעבדות קספרסקי זיהו דמיון בין הקוד הגנוב לדגימות קוד קודמות של קבוצת המשוואה שהיו ברשותן, כולל מאפיינים ייחודיים לדרך שבה הקבוצה יישמה את אלגוריתם ההצפנה RC6, ולכן הסיקו כי ההודעה אמינה. התאריכים האחרונים בקבצים הגנובים היו מיוני 2013, מה שהוביל את אדוארד סנודן לשער כי סגירת הפרצה והפסקת הגישה של ההאקרים נבעו מהגברת האבטחה ב-NSA בעקבות הדלפותיו על מאמצי המעקב הגלובליים והמקומיים של הסוכנות.
בין הכלים ששוחררו על ידי "סוחרי הצללים" נכללו פרצות נגד התקני אבטחה של סיסקו (ASA) וחומות אש של Fortinet. אחת הפרצות, EXTRABACON, כוונה נגד תוכנת ASA של סיסקו והייתה פרצת "יום אפס" בעת חשיפתה. גם חברת ג'וניפר אישרה כי חומות האש שלה מסדרת NetScreen היו פגיעות. הפרצה המפורסמת ביותר שהודלפה, EternalBlue, שימשה מאוחר יותר לביצוע מתקפת הכופרה ההרסנית WannaCry ברחבי העולם במאי 2017.
הפריצה הנטענת לאוניברסיטה הפוליטכנית הצפון-מערבית ב-2022
בשנת 2022, חקירה שבוצעה על ידי המרכז הלאומי הסיני לתגובת חירום לווירוסי מחשב (CVERC) וחברת אבטחת המחשבים Qihoo 360, ייחסה מתקפת סייבר נרחבת על האוניברסיטה הפוליטכנית הצפון-מערבית (NPU) של סין למשרד המבצעים המותאמים (TAO) של ה-NSA. על פי החקירה, התוקפים פגעו בעשרות אלפי התקני רשת בסין במשך שנים וגנבו למעלה מ-140GB של נתונים בעלי ערך גבוה.
ה-CVERC טען כי המתקפה כללה "תקופת הכנה ארוכה", שבמהלכה הוקמה תשתית תקיפה אנונימית על ידי ניצול פרצות "יום אפס" במערכת ההפעלה SunOS. באמצעות פרצות אלו, נפרצו מוסדות עם תעבורת רשת גדולה ב-17 מדינות, 70% מהן שכנות לסין. אותם מחשבים שנפרצו שימשו כ"מקפצות" כדי לחדור לרשת האוניברסיטה באמצעות מתקפות "אדם בתווך" (Man-in-the-middle) ודיוג ממוקד (spear-phishing) נגד סטודנטים ומרצים. הדוח טוען גם כי ה-NSA השתמש בשתי חברות קש, "Jackson Smith Consultants" ו-"Mueller Diversified Systems", כדי לרכוש כתובות IP בארה"ב, ששימשו מאוחר יותר בפלטפורמת התקיפה FOXACID.
החוקרים זיהו 41 כלים ונוזקות שונים, שרבים מהם היו דומים או תואמים לכלי נשק של TAO שנחשפו בהדלפת "סוחרי הצללים". החוקרים ייחסו את התקיפה לקבוצת המשוואה בהתבסס על שילוב של זמני תקיפה, טעויות אנוש ושימוש במקלדת באנגלית אמריקאית. ניתוח של אחד הכלים, "NOPEN", שהצריך קלט אנושי, הראה כי 98% מהתקיפות התרחשו בשעות העבודה בארה"ב, ולא תועדו התקפות בסופי שבוע או בחגים אמריקאיים כמו יום הזיכרון ויום העצמאות.
מקור: ויקיפדיה https://en.wikipedia.org/wiki/Equation_Group
