美国APT固件木马的实证——方程式组织正式浮出水面

大家好，我是紫队安全研究。近期我将连载美国APT针对全球的历史安全事件，希望能帮助到大家。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击"紫队安全研究"进入公众号，然后点击右上角的【...】,然后点击【设为星标】即可。

固件是写入硬件的软件，其比操作系统更底层，甚至先于操作系统加载。如果将恶意代码写入固件中，就会变得更加隐蔽和难以被发现。

2015年2月18日，美国媒体《拦截者》（The Intercept）发布了一篇题为“研究人员发现与NSA间谍活动相关的‘惊人的’恶意软件”的文章[1]，披露了卡巴斯基（Kaspersky）的研究成果，证实了美国利用硬盘固件实施“持久化”攻击活动，引发了网络安全界的震动。随着卡巴斯基的系列报告逐步揭示了“方程式组织”，NSA的底层“持久化”能力也越来越清晰地呈现出来。

事件回顾

早在2014年1月，专注于研究BIOS安全的网络安全专家达尔马万·萨利亨（Darmawan Salihun）开始在InfoSec研究所（InfoSec Institute）网站上发表一系列文章，分析曝光了NSA的BIOS后门DEITYBOUNCE、GODSURGE等，并将这些恶意软件称为“上帝模式”[2]。

2015年2月至3月期间，卡巴斯基发布了一系列报告[3-8]，揭露了名为“方程式组织”（Equation Group）的高级持续性威胁（APT）组织，称其已经活跃了近20年，是“震网”和“火焰”病毒等恶意软件的幕后操纵者，在攻击复杂性和技术上超越了历史上所有的网络攻击组织。该组织在全球范围内感染了数千甚至上万个受害者，涉及30多个国家。卡巴斯基推测，由于“方程式组织”使用的恶意程序具有自毁功能，实际受害者可能更多。

研究分析曝光过程

2015年2月，卡巴斯基首次全球披露了“方程式组织”针对全球网络的间谍活动，称其为迄今为止见过的最高级的威胁行为者。卡巴斯基随后发布了多篇详细报告[3-8]，分析了“方程式组织”的相关组件，如DoubleFantasy、EquationLaser、Fanny、EquationDrug、GrayFish、TripleFantasy等，并详细解释了各个组件之间的协作关系。卡巴斯基还证实了“方程式组织”与“震网”之间的联系，并指出Fanny使用的两个零日漏洞曾于2009年6月和2010年3月被“震网”利用。

2016年，卡巴斯基根据RC算法的常量值验证了黑客组织“影子经纪人”（Shadow Brokers）泄露的NSA数据属于“方程式组织”[9]。

卡巴斯基指出，“方程式组织”针对高价值目标使用硬盘固件实现攻击持久化的植入。通过样本研究发现，虽然数千个受害者中只有极少数被硬盘固件重新编程模块感染，但硬盘的持久化率仅为千分之二左右，这表明“方程式组织”的固件木马是一种高度针对性和隐秘性的战术网络武器。

小结

高级持续性威胁（APT）的特点是更长的时间维持、更广泛的地理覆盖范围和更多样化的资源调度能力，这使得安全研究者难以接近其本质。美国顶级APT组织“方程式组织”拥有一套完整、严密的作业框架与方法体系，具备大规模支持工程体系和制式化装备组合，能够进行严密的组织作业，高度追求作业过程的隐蔽性和反溯源性。这使得该组织的网络攻击看似“弹道无痕”，其实际攻击战术、技术、程序以及相应轨迹难以被察觉，从而导致防护者难以全面了解和解读其网络空间行动。 

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：美国APT固件木马的实证——“方程式组织”正式浮出水面