Malware Equation Group

Peneliti keamanan Kaspersky baru saja mengumumkan penemuan malware Equation Group. Malware  ini memiliki modul “nls_933w.dll” yang dapat memodifikasi firmware Harddisk dari berbagai merek diantaranya  Seagate, Western Digital, Toshiba, Maxtor dan IBM.  Kemampuan ini sangat berbahaya, diduga malware dapat membuat hidden sector (bagian tersembunyi) pada Harddisk. Pada Hidden sector ini malware disembunyikan.

Menurut peneliti malware, melakukan format Harddisk serta menginstall ulang Operating sistem tidak dapat menghilangkan hidden sector ini. Equation group  merupakan nama yang diberikan untuk kelompok yang menyebarkan malware ini.  Equation group diduga membuat berbagai macam malware berbahaya. Diantaranya EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY dan GRAYFISH

Penyebaran malware-malware ini diduga telah dimulai sejak awal tahun 2000. Diduga malware-malware ini digunakan untuk spionase. Equation group diduga memiliki hubungan dengan pembuat malware canggih lainnya Stuxnet dan Regin.

Salah satu modus penyebaran malware ini yang dilaporkan kaspersky adalah melalui CD-ROM. Pada sebuah konferensi Internasional tentang Science di Houston, setelah acara selesai peserta dikirimkan CD-ROM yang berisi foto-foto dokumentasi kegiatan tersebut.  Ketika peserta membuka foto-foto tersebut,  maka malware akan terinstall pada background process.

Malware memiliki kemampuan untuk meningkatkan hak akses (priviledge escalation), menggunakan tiga exploit pada Windows.  Malware memiliki beberapa varian exploit berbeda untuk berbagai versi OS Windows diantaranya  Windows NT 4.0, 2000, XP, Vista and Windows 2008. Malware kemudian berkomunikasi dengan sebuah server C&C (Command & Control). Server ini kemudian akan mengendalikan komputer korban, menginstall malware lain seperti DoubleFantasy Malware. Double Fantasy membuka backdoor dan menginstall malware lainnya EquationDrug dan GrayFish.

Penjelasan Kaspersky tentang malware equation group ini bisa dilihat pada link berikut:

http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

http://securelist.com/blog/research/68877/equation-group-from-houston-with-love/

http://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/

malware equation grup
malware equation grup – from kaspersky

Bahan bacaan lainnya tentang malware ini bisa dilihat disini

http://www.technologyreview.com/view/535226/not-only-the-nsa-knows-how-to-make-unerasable-malware/

http://www.wired.com/2015/02/kapersky-discovers-equation-group/

http://blogs.reuters.com/data-dive/2015/02/19/mapping-the-nsas-malware-equation/

http://www.pcworld.com/article/2884952/equation-cyberspies-use-unrivaled-nsastyle-techniques-to-hit-iran-russia.html

Semoga bermanfaat!

Silahkan tuliskan tanggapan, kritik maupun saran