Grupo Equation, creador del ciberespionaje

El equipo global de investigación y análisis de Kaspersky Lab ha podido recuperar dos módulos que permiten la reprogramación del firmware del disco duro de más de una docena de marcas populares de discos duros. Esta quizá sea la herramienta más poderosa del arsenal del Grupo Equation y el primer malware conocido capaz de infectar los discos duros.

Al reprogramar el firmware del disco duro (es decir, reescribir el sistema operativo del disco duro), el grupo logra dos propósitos:

1. Un nivel extremo de persistencia que ayuda a sobrevivir el formateado del disco y la reinstalación del sistema operativo. Si el malware entra al firmware, está disponible para “revivir” para siempre. Puede prevenir que se borre un cierto sector del disco o sustituirlo con uno malicioso durante el proceso de arranque del sistema.
2. La capacidad de crear un área persistente invisible oculta dentro del disco duro. Se usa para guardar información extraída que los atacantes pueden recuperar más tarde. Asimismo, en algunos casos puede ayudar al grupo a entreabrir el cifrado.

El Grupo Equation utiliza infraestructura de Comando y Control que incluye más de 300 dominios y más de 100 servidores. Los servidores están alojados en múltiples países, incluyendo los Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Costa Rica, Malasia, Colombia y la República Checa. Kaspersky Lab está actualmente usurpando el control de un par de docenas de estos 300 servidores de Comando y Control.

Desde el año 2001, el Grupo Equation ha estado ocupado infectando miles, o quizá incluso decenas de miles de víctimas en más de 30 países de todo el mundo, cubriendo los sectores siguientes: Instituciones diplomáticas y gubernamentales, Telecomunicaciones, Aeroespaciales, de Energía, investigación Nuclear, Gas y Petroleras, Militares, de Nanotecnología, activistas Islámicos, Medios masivos de comunicación, de Transporte, instituciones Financieras y compañías de desarrollo de tecnologías de cifrado.