समीकरण समूह

Equation Group
Type	Advanced persistent threat
Location	United States;
Products	Stuxnet, Flame, EternalBlue
Parent organization	National Security Agency Signals Intelligence Directorate Tailored Access Operations; ; ;

इक्वेशन ग्रुप, जिसे एक उन्नत निरंतर खतरे के रूप में वर्गीकृत किया गया है, एक अत्यधिक परिष्कृत थ्रेट (कंप्यूटर)#थ्रेट एजेंट या अभिनेता है जिस पर संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा एजेंसी (एनएसए) की अनुरूप पहुंच संचालन (टीएओ) इकाई से जुड़े होने का संदेह है।^[1]^[2]^[3] कास्परस्की लैब्स उन्हें दुनिया के सबसे परिष्कृत साइबर हमले समूहों में से एक और हमारे द्वारा देखे गए सबसे उन्नत (...) के रूप में वर्णित करता है, जो स्टक्सनेट और फ्लेम (मैलवेयर) के रचनाकारों के साथ काम करता है।^[4]^[5]उनके निशाने पर ज्यादातर ईरान, रूस, पाकिस्तान, अफ़ग़ानिस्तान , भारत, सीरिया और वे थे रहे हैं।^[5]

यह नाम समूह द्वारा एन्क्रिप्शन के व्यापक उपयोग से उत्पन्न हुआ। 2015 तक, कैस्परस्की ने कम से कम 42 देशों में समूह द्वारा 500 मैलवेयर संक्रमणों का दस्तावेजीकरण किया, जबकि यह स्वीकार किया कि इसके स्व-समाप्ति प्रोटोकॉल के कारण वास्तविक संख्या हजारों में हो सकती है।^[5]^[6] 2017 में, विकीलीक्स तिजोरी 7 ने केंद्रीय खुफिया एजेंसी के भीतर इस बात पर चर्चा की कि समूह की पहचान करना कैसे संभव हुआ।^[7] एक टिप्पणीकार ने लिखा कि रिपोर्ट में लेबल किया गया समीकरण समूह किसी विशिष्ट समूह से संबंधित नहीं है, बल्कि हैकिंग के लिए उपयोग किए जाने वाले उपकरणों के संग्रह से संबंधित है।^[8]

खोज

16 फरवरी, 2015 को मैक्सिको में आयोजित कास्परस्की सुरक्षा विश्लेषक शिखर सम्मेलन में, कास्परस्की लैब ने समीकरण समूह की अपनी खोज की घोषणा की। कैस्परस्की लैब की रिपोर्ट के अनुसार, समूह कम से कम 2001 से सक्रिय है, जिसमें 60 से अधिक कलाकार हैं।^[9] उनके संचालन में प्रयुक्त मैलवेयर, जिसे इक्वेशनड्रग और ग्रेफिश कहा जाता है, हार्ड डिस्क ड्राइव फर्मवेयर को पुन: प्रोग्राम करने में सक्षम पाया गया है।^[4]इसमें शामिल उन्नत तकनीकों और उच्च स्तर की गुप्तता के कारण, समूह पर एनएसए से संबंध होने का संदेह है, लेकिन कैस्परस्की लैब ने समूह के पीछे के अभिनेताओं की पहचान नहीं की है।

स्टक्सनेट और एनएसए से संभावित लिंक

2015 में इक्वेशन ग्रुप पर कैस्परस्की के शोध निष्कर्षों में पाया गया कि इसके लोडर, ग्रेफिश में पहले खोजे गए लोडर, गॉस के समान समानताएं थीं।^[repository] एक अन्य हमले की श्रृंखला से, और अलग से नोट किया गया कि समीकरण समूह ने दो शून्य-दिन के हमलों का इस्तेमाल किया, जिन्हें बाद में स्टक्सनेट में इस्तेमाल किया गया; शोधकर्ताओं ने निष्कर्ष निकाला कि लगभग एक ही समय में, अलग-अलग कंप्यूटर वर्म्स में दोनों के समान प्रकार के उपयोग से संकेत मिलता है कि इक्वेशन समूह और स्टक्सनेट डेवलपर्स या तो एक ही हैं या एक साथ मिलकर काम कर रहे हैं।^[10]^: 13

फ़र्मवेयर

उन्होंने यह भी पहचाना कि मंच कई बार अंतर्विरोध (मेल द्वारा वैज्ञानिक सम्मेलन आयोजक द्वारा भेजी गई वैध सीडी का अवरोधन) द्वारा फैलाया गया था।^[10]^: 15 और यह कि प्लेटफ़ॉर्म में कई प्रमुख हार्ड ड्राइव निर्माताओं के हार्ड ड्राइव फर्मवेयर को संक्रमित करने और प्रसारित करने की अभूतपूर्व क्षमता थी, और अपने उद्देश्यों के लिए छिपे हुए डिस्क क्षेत्रों और वर्चुअल डिस्क सिस्टम को बनाने और उपयोग करने की क्षमता थी, एक उपलब्धि जिसके लिए निर्माता की पहुंच की आवश्यकता होगी प्राप्त करने के लिए स्रोत कोड,^[10]^: 16–18 और यह उपकरण सर्जिकल परिशुद्धता के लिए डिज़ाइन किया गया था, यहां तक कि आईपी द्वारा विशिष्ट देशों को बाहर करने और चर्चा मंचों पर विशिष्ट उपयोगकर्ता नामों को लक्षित करने की अनुमति भी दी गई थी।^[10]^: 23–26

कोडवर्ड और टाइमस्टैम्प

एनएसए कोडवर्ड मैलवेयर के अंदर STRAITACID और STRAITSHOOTER पाए गए हैं। इसके अलावा, मैलवेयर में टाइमस्टैम्प से संकेत मिलता है कि प्रोग्रामर ने सोमवार-शुक्रवार को पूर्वी संयुक्त राज्य अमेरिका के समय क्षेत्र में 08:00–17:00 (8:00 पूर्वाह्न - 5:00 अपराह्न) कार्यदिवस के अनुरूप भारी मात्रा में काम किया। .^[11]

एलएनके शोषण

कैस्परस्की की वैश्विक अनुसंधान और विश्लेषण टीम, जिसे GReAT के नाम से भी जाना जाता है, ने 2008 में मैलवेयर का एक टुकड़ा खोजने का दावा किया था जिसमें स्टक्सनेट का प्राइवेटलिब शामिल था।^[12] विशेष रूप से इसमें 2010 में स्टक्सनेट में पाया गया एलएनके शोषण शामिल था। फैनी को एक कीड़ा के रूप में वर्गीकृत किया गया है जो कुछ माइक्रोसॉफ़्ट विंडोज़ को प्रभावित करता है और नेटवर्क कनेक्शन या यूनिवर्सल सीरियल बस के माध्यम से फैलने का प्रयास करता है।^[repository] कैस्परस्की ने कहा कि फैनी के रिकॉर्ड किए गए संकलन समय के आधार पर, उन्हें संदेह है कि समीकरण समूह स्टक्सनेट से अधिक समय तक रहा है।^[4]

IRATEMONK से लिंक

NSA ने अपने टेलर्ड एक्सेस ऑपरेशंस प्रोग्राम की सूची को NSA ANT कैटलॉग से IRATEMONK नाम दिया है।

एफ सुरक्षित का दावा है कि इक्वेशन ग्रुप का दुर्भावनापूर्ण हार्ड ड्राइव फर्मवेयर टेलर्ड एक्सेस ऑपरेशंस प्रोग्राम IRATEMONK है,^[13] एनएसए एएनटी कैटलॉग के आइटमों में से एक को 2013 डेर स्पीगल लेख में उजागर किया गया था। IRATEMONK हमलावर को अपने अनुप्रयोग प्रक्रिया सामग्री को डेस्कटॉप और लैपटॉप कंप्यूटर पर लगातार इंस्टॉल करने की क्षमता प्रदान करता है, भले ही डिस्क डिस्क स्वरूपण हो, उसका डेटा मिटाया जाए या ऑपरेटिंग सिस्टम फिर से इंस्टॉल किया गया हो। यह हार्ड ड्राइव फ़र्मवेयर को संक्रमित करता है, जो बदले में डिस्क के मास्टर बूट दस्तावेज़ में निर्देश जोड़ता है जिससे हर बार कंप्यूटर बूट होने पर सॉफ़्टवेयर इंस्टॉल हो जाता है।^[14]यह सीगेट प्रौद्योगिकी , मैक्सटर, पश्चिमी डिजिटल , SAMSUNG , से कुछ हार्ड ड्राइव को संक्रमित करने में सक्षम है।^[14] आईबीएम, माइक्रोन प्रौद्योगिकी और तोशीबा ।^[4]

2016 समीकरण समूह का उल्लंघन

अगस्त 2016 में, खुद को छाया दलाल कहने वाले एक हैकिंग समूह ने घोषणा की कि उसने इक्वेशन ग्रुप से मैलवेयर कोड चुरा लिया है।^[15] कैस्परस्की लैब ने चुराए गए कोड और उसके पास मौजूद इक्वेशन ग्रुप मैलवेयर नमूनों से पहले ज्ञात कोड के बीच समानताएं देखीं, जिसमें इक्वेशन ग्रुप के आरसी6 6 एन्क्रिप्शन एल्गोरिथ्म को लागू करने के तरीके की अनूठी विचित्रताएं भी शामिल थीं, और इसलिए यह निष्कर्ष निकाला कि यह घोषणा वैध है।^[16] चोरी की गई फाइलों की सबसे हालिया तारीखें जून 2013 की हैं, इस प्रकार एड्वर्ड स्नोडेन को यह अनुमान लगाने के लिए प्रेरित किया गया कि वैश्विक निगरानी खुलासे (2013-वर्तमान) के उनके लीक के परिणामस्वरूप संभावित लॉकडाउन हो सकता है। एनएसए के वैश्विक और घरेलू निगरानी प्रयासों ने द शैडो ब्रोकर्स के उल्लंघन को रोक दिया समीकरण समूह का. द शैडो ब्रोकर्स द्वारा जारी किए गए कुछ मैलवेयर नमूनों में सिस्को अनुकूली सुरक्षा उपकरण ेज और फोर्टीनेट के फ़ायरवॉल के ख़िलाफ़ कारनामे दिखाए गए थे।^[17] EXTRABACON, सिस्को के ASA सॉफ़्टवेयर के विरुद्ध एक सरल नेटवर्क प्रबंधन प्रोटोकॉल शोषण, घोषणा के समय तक एक शून्य-दिन (कंप्यूटिंग)|शून्य-दिवसीय शोषण था।^[17]जुनिपर ने यह भी पुष्टि की कि उसके नेटस्क्रीन फ़ायरवॉल प्रभावित हुए हैं।^[18] शाश्वत नीला एक्सप्लॉइट का उपयोग दुनिया भर में हानिकारक WannaCry रैंसमवेयर हमले को अंजाम देने के लिए किया गया था।

यह भी देखें

वैश्विक निगरानी खुलासे (2013-वर्तमान)
विदेश में संयुक्त राज्य अमेरिका के ख़ुफ़िया ऑपरेशन
फ़र्मवेयर#फ़र्मवेयर हैकिंग

संदर्भ

↑ Fox-Brewster, Thomas (February 16, 2015). "Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'". Forbes. Retrieved November 24, 2015.
↑ Menn, Joseph (February 17, 2015). "रूसी शोधकर्ताओं ने अमेरिका के जासूसी कार्यक्रम का भंडाफोड़ किया". Reuters. Retrieved November 24, 2015.
↑ "एनएसए को हैक कर लिया गया था, स्नोडेन के दस्तावेज़ इसकी पुष्टि करते हैं". The Intercept. 19 August 2016. Retrieved 19 August 2016.
↑ ^4.0 ^4.1 ^4.2 ^4.3 GReAT (February 16, 2015). "Equation: The Death Star of Malware Galaxy". Securelist.com. Kaspersky Lab. Retrieved August 16, 2016. SecureList, Costin Raiu (director of Kaspersky Lab's global research and analysis team): "It seems to me Equation Group are the ones with the coolest toys. Every now and then they share them with the Stuxnet group and the Flame group, but they are originally available only to the Equation Group people. Equation Group are definitely the masters, and they are giving the others, maybe, bread crumbs. From time to time they are giving them some goodies to integrate into Stuxnet and Flame."
↑ ^5.0 ^5.1 ^5.2 Goodin, Dan (February 16, 2015). "How "omnipotent" hackers tied to NSA hid for 14 years—and were found at last". Ars Technica. Retrieved November 24, 2015.
↑ Kirk, Jeremy (17 February 2015). "इस अति-उन्नत मैलवेयर को रोकने का एकमात्र तरीका अपनी हार्ड ड्राइव को नष्ट करना है". PCWorld. Retrieved November 24, 2015.
↑ Goodin, Dan (7 March 2017). "After NSA hacking exposé, CIA staffers asked where Equation Group went wrong". Ars Technica. Retrieved 21 March 2017.
↑ "What did Equation do wrong, and how can we avoid doing the same?". Vault 7. WikiLeaks. Retrieved 21 March 2017.
↑ "Equation Group: The Crown Creator of Cyber-Espionage". Kaspersky Lab. February 16, 2015. Retrieved November 24, 2015.
↑ ^10.0 ^10.1 ^10.2 ^10.3 "Equation Group: Questions and Answers (Version: 1.5)" (PDF). Kaspersky Lab. February 2015. Archived from the original (PDF) on February 17, 2015. Retrieved November 24, 2015.
↑ Goodin, Dan (March 11, 2015). "नई स्मोकिंग गन एनएसए को सर्वशक्तिमान "इक्वेशन ग्रुप" हैकर्स से जोड़ती है". Ars Technica. Retrieved November 24, 2015.
↑ "A Fanny Equation: "I am your father, Stuxnet"". Kaspersky Lab. February 17, 2015. Retrieved November 24, 2015.
↑ "The Equation Group Equals NSA / IRATEMONK". F-Secure Weblog : News from the Lab. February 17, 2015. Retrieved November 24, 2015.
↑ ^14.0 ^14.1 Schneier, Bruce (January 31, 2014). "IRATEMONK: NSA Exploit of the Day". Schneier on Security. Retrieved November 24, 2015.
↑ Goodin, Dan (August 15, 2016). "समूह ने एनएसए से जुड़े हैकरों को हैक करने का दावा किया है, सबूत के तौर पर कारनामे पोस्ट किए हैं". Ars Technica. Retrieved August 19, 2016.
↑ Goodin, Dan (August 16, 2016). "Confirmed: hacking tool leak came from "omnipotent" NSA-tied group". Ars Technica. Retrieved August 19, 2016.
↑ ^17.0 ^17.1 Thomson, Iain (August 17, 2016). "सिस्को ने पुष्टि की है कि शैडो ब्रोकर्स के दो 'एनएसए' वल्न्स असली हैं". The Register. Retrieved August 19, 2016.
↑ Pauli, Darren (August 24, 2016). "इक्वेशन ग्रुप के शोषण ने नए सिस्को एएसए, जुनिपर नेटस्क्रीन को प्रभावित किया". The Register. Retrieved August 30, 2016.

बाहरी संबंध

Equation Group: Questions and Answers by Kaspersky Lab, Version: 1.5, February 2015
A Fanny Equation: "I am your father, Stuxnet" by Kaspersky Lab, February 2015

fanny.bmp source - at GitHub, November 30, 2020

Technical Write-up - at GitHub, February 10, 2021

[1] Fox-Brewster, Thomas (February 16, 2015). "Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'". Forbes. Retrieved November 24, 2015.

[2] Menn, Joseph (February 17, 2015). "रूसी शोधकर्ताओं ने अमेरिका के जासूसी कार्यक्रम का भंडाफोड़ किया". Reuters. Retrieved November 24, 2015.

[3] "एनएसए को हैक कर लिया गया था, स्नोडेन के दस्तावेज़ इसकी पुष्टि करते हैं". The Intercept. 19 August 2016. Retrieved 19 August 2016.

[malware-galaxy-4] 4.0 ^4.1 ^4.2 ^4.3 GReAT (February 16, 2015). "Equation: The Death Star of Malware Galaxy". Securelist.com. Kaspersky Lab. Retrieved August 16, 2016. SecureList, Costin Raiu (director of Kaspersky Lab's global research and analysis team): "It seems to me Equation Group are the ones with the coolest toys. Every now and then they share them with the Stuxnet group and the Flame group, but they are originally available only to the Equation Group people. Equation Group are definitely the masters, and they are giving the others, maybe, bread crumbs. From time to time they are giving them some goodies to integrate into Stuxnet and Flame."

[ars-5] 5.0 ^5.1 ^5.2 Goodin, Dan (February 16, 2015). "How "omnipotent" hackers tied to NSA hid for 14 years—and were found at last". Ars Technica. Retrieved November 24, 2015.

[6] Kirk, Jeremy (17 February 2015). "इस अति-उन्नत मैलवेयर को रोकने का एकमात्र तरीका अपनी हार्ड ड्राइव को नष्ट करना है". PCWorld. Retrieved November 24, 2015.

[Goodin_CIA-7] Goodin, Dan (7 March 2017). "After NSA hacking exposé, CIA staffers asked where Equation Group went wrong". Ars Technica. Retrieved 21 March 2017.

[What_did_Equation_do_wrong-8] "What did Equation do wrong, and how can we avoid doing the same?". Vault 7. WikiLeaks. Retrieved 21 March 2017.

[kaspersky-9] "Equation Group: The Crown Creator of Cyber-Espionage". Kaspersky Lab. February 16, 2015. Retrieved November 24, 2015.

[Kaspersky1-10] 10.0 ^10.1 ^10.2 ^10.3 "Equation Group: Questions and Answers (Version: 1.5)" (PDF). Kaspersky Lab. February 2015. Archived from the original (PDF) on February 17, 2015. Retrieved November 24, 2015.

[11] Goodin, Dan (March 11, 2015). "नई स्मोकिंग गन एनएसए को सर्वशक्तिमान "इक्वेशन ग्रुप" हैकर्स से जोड़ती है". Ars Technica. Retrieved November 24, 2015.

[12] "A Fanny Equation: "I am your father, Stuxnet"". Kaspersky Lab. February 17, 2015. Retrieved November 24, 2015.

[FSecure-13] "The Equation Group Equals NSA / IRATEMONK". F-Secure Weblog : News from the Lab. February 17, 2015. Retrieved November 24, 2015.

[IRATEMONK-14] 14.0 ^14.1 Schneier, Bruce (January 31, 2014). "IRATEMONK: NSA Exploit of the Day". Schneier on Security. Retrieved November 24, 2015.

[15] Goodin, Dan (August 15, 2016). "समूह ने एनएसए से जुड़े हैकरों को हैक करने का दावा किया है, सबूत के तौर पर कारनामे पोस्ट किए हैं". Ars Technica. Retrieved August 19, 2016.

[16] Goodin, Dan (August 16, 2016). "Confirmed: hacking tool leak came from "omnipotent" NSA-tied group". Ars Technica. Retrieved August 19, 2016.

[EXTRABACON-17] 17.0 ^17.1 Thomson, Iain (August 17, 2016). "सिस्को ने पुष्टि की है कि शैडो ब्रोकर्स के दो 'एनएसए' वल्न्स असली हैं". The Register. Retrieved August 19, 2016.

[18] Pauli, Darren (August 24, 2016). "इक्वेशन ग्रुप के शोषण ने नए सिस्को एएसए, जुनिपर नेटस्क्रीन को प्रभावित किया". The Register. Retrieved August 30, 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]