Equation Group: Der Spionage-Ring aus Malware

Fanny, Greyfish oder Equationlaser: So heißen mehr als ein halbes Dutzend Trojaner, mit denen seit mehreren Jahren weltweit Regierungen, Unternehmen und Forschungseinrichtungen ausspioniert werden. Verbreitet und gesteuert werden sie offenbar von einer Gruppe - der Equation Group.

Artikel veröffentlicht am ,
Der Trojaner Fanny der Equation Group nistet sich in der Firmware von USB-Sticks ein.
Der Trojaner Fanny der Equation Group nistet sich in der Firmware von USB-Sticks ein. (Bild: Kaspersky)

Seit 2001 ist sie aktiv: die vom russischen IT-Sicherheitsunternehmen Kaspersky benannte Gruppe Equation Group. Sie verwendet ein ganzes Arsenal an Malware und Trojanern, mit denen sie Festplatten infiziert oder versucht, geschlossene Systeme auszuspionieren. Bei seiner Analyse mehrerer Malware-Proben hat Kaspersky Gemeinsamkeiten entdeckt, aus denen das Unternehmen schließt, dass die Equation Group dahintersteckt.

  • Fanny infiziert USB-Sticks. (Bilder: Kaspersky)
  • Greyfish infiziert die Firmware von Festplatten.
  • Die von der Equation Group verwendete Malware
  • Seit mehr als zehn Jahren entwickelt die Gruppe immer ausgereiftere Spionagesoftware.
  • Der Entwicklungszyklus einer Malware
  • Fanny wird verwendet, um abgetrennte Netzwerke auszuspionieren.
  • Die Weltkarte zeigt die Verbreitung der Malware der Equation Group.
  • Die Architektur der Malware Greyfish
Die Weltkarte zeigt die Verbreitung der Malware der Equation Group.
Inhalt:
  1. Equation Group: Der Spionage-Ring aus Malware
  2. Exploits wurden später in Stuxnet verwendet

Die Gruppe sei ein "Bedrohungsakteur, der hinsichtlich technischer Komplexität und Raffinesse alles bisher Bekannte in den Schatten stellt", heißt es bei Kaspersky. Sie setze sehr komplizierte Werkzeuge ein, die kostenintensiv entwickelt seien. Ihre Aktionen verberge sie auf außergewöhnlich professionelle Weise. Wegen der verwendeten Verschlüsselung gab Kaspersky der Gruppe den Namen Equation Group.

Command-and-Control-Server in aller Welt

Die Aktivitäten der verwendeten Command-and-Control-Server (C&C-Server) seien bisweilen aber bis 1996 zurückzuverfolgen. Es handelt sich wohl um eine ganze C&C-Infrastruktur mit mehr als 300 Domains und über 100 Server in mehreren Ländern, darunter auch in Deutschland, den USA, Großbritannien, Italien und den Niederlanden. Kaspersky hat auch Server in Panama, Costa Rica, Malaysia oder Kolumbien gefunden.

Auffallend ist die von Kaspersky veröffentlichte weltweite Karte der infizierten Opfer. Länder mit einer hohen Infektionsrate liegen fast ausschließlich in Asien. Die meisten verzeichnet die Karte im Iran, gefolgt von Russland und Pakistan. Zu den dortigen Opfern gehören Militär- und Regierungseinrichtungen, Telekommunikationsunternehmen und Finanzinstitute. Zu den Ländern mit einer mittleren Infektionsrate zählen zahlreiche arabische und afrikanische Staaten, aber auch Großbritannien und Mexiko. Auch in Deutschland werden Infektionen registriert, allen voran bei Telekommunikationsunternehmen. In den USA sind laut Kaspersky vor allem islamische Aktivisten und Gelehrte betroffen.

Zero-Days und weitere Exploits

Beispielhaft für einen Infektionsweg nennt Kaspersky den Besuch eines polnischen Wissenschaftlers auf einer Konferenz in Houston im US-Bundesstaat Texas. Nach der Konferenz wurde ihm eine CD-ROM mit dort aufgenommenen Fotos zugesandt, die mit Malware infiziert war.

Die Malware versuchte, über mehrere, damals noch funktionierende Exploits die Rechner ihrer Opfer zu infizieren. Bei mindestens vier davon handele es sich um Zero-Day-Lücken. Mindestens vier davon griffen den Firefox-Browser in Version 17 an, der auch im Tor-Browser-Bundle verwendet wurde. Die meisten Proben versuchten es mit drei Exploits.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Exploits wurden später in Stuxnet verwendet 
  1. 1
  2. 2
  3.  
Verwandte Artikel
artikel-bild
Security
Malware mit legitimen Zertifikaten weit verbreitet
artikel-bild
Cyberwar
Kaspersky identifiziert die ersten fünf Stuxnet-Opfer
artikel-bild
BND-Gesetz
Journalisten klagen gegen Überwachung
Meistgelesen
artikel-bild
Elektro-Pick-up
Cybertruck nach Waschstraßenbesuch funktionsunfähig
artikel-bild
Rebel Moon - Teil 2
Sternenkrieg um einen Bauernhof
artikel-bild
Ehemaliger Entwickler
Die Performance von Windows 11 ist "lächerlich schlecht"
Kommentarübersicht
Re: _NSAKEY
TheUnichi 25. Feb 2015

Habe ich. Stammtischgelaber... Doch, es gibt genug Gründe, wie z.B. sein eigenes...

Re: OT: Golem - Zappelwebsite nummero uno
Bouncy 18. Feb 2015

Bei mir schon, vor allem in den Bildergalerien nervt es -> Mauszeiger auf den Weiter...

Re: Mich würde interessieren, wie man die Malware
carnival 18. Feb 2015

als kommerzieller kunde hast du im zweifel die agb des herstellers beim kauf akzeptiert...

Re: Freie Hardware
Anonymer Nutzer 17. Feb 2015

Wo? In Freie Hardware für Dummies?

Aktuell auf der Startseite von Golem.de
Ehemaliger Entwickler
Die Performance von Windows 11 ist "lächerlich schlecht"

Selbst für ehemalige Angestellte von Microsoft sind manche Eigenarten von Windows offenbar unverständlich. Teilweise hilft selbst teure Hardware nicht.

Ehemaliger Entwickler: Die Performance von Windows 11 ist lächerlich schlecht
Artikel
  1. Elektro-Pick-up: Cybertruck nach Waschstraßenbesuch funktionsunfähig
    Elektro-Pick-up
    Cybertruck nach Waschstraßenbesuch funktionsunfähig

    Ein Tesla-Cybertruck-Besitzer hat ein Problem, nachdem er sein Fahrzeug zu einer routinemäßigen Autowäsche gebracht hat.

  2. Bezahlfunktion: Genehmigung für Apples NFC-Zugang soll im Mai kommen
    Bezahlfunktion
    Genehmigung für Apples NFC-Zugang soll im Mai kommen

    Apple muss Konkurrenten die Nutzung der NFC-Schnittstelle im iPhone für Bezahlfunktionen ermöglichen. Die EU soll die Bedingungen des Herstellers in Kürze genehmigen.

  3. EU-Kommission warnt: Pornhub, Stripchat und Xvideos müssen DSA-Auflagen einhalten
    EU-Kommission warnt
    Pornhub, Stripchat und Xvideos müssen DSA-Auflagen einhalten

    In den kommenden Tagen treten für Pornhub, Stripchat und Xvideos neue Auflagen in Kraft. Unter anderem müssen sie Minderjährigen aus der EU den Zugang zu Pornos verwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • BenQ Mobiuz 27" WQHD/165 Hz 229€ • Spring Sale bei Gamesplanet • MindStar: AMD Ryzen 5 5600 99€ und Ryzen 7 7800X3D 339€ • Samsung Galaxy S23 -37% • Alternate: Patriot Venom 64-GB-Kit DDR5-6000 206,89€ • myMediaMarkt: Sony Bravia KD-75X85L 1.274€ • MSI MEG 342CDE OLED 999€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /