Magyar kutatók elemeztek kiszivárgott NSA kódokat

Az NSA-hez köthető Equation Group korábban nyilvánosságra került hacker eszközeinek elemzése során a magyar Crysys Lab munkatársainak új, nem támadó jellegű funkciót sikerült azonosítaniuk. A Budapesti Műszaki és Gazdaságtudományi Egyetemen működő Crysys – akik többek között a Duqu APT felfedezésével szereztek ismertséget – a “Lost in Translation” fájlok között találtak rá a “Territorial Dispute” modulokra, amelyeket véleményük szerint az amerikai hírszerző ügynökség konkurens APT-k felderítésére használhatott. A Crysys szerint a kódok relatíve egyszerűek, a céleszközön megadott fájlok, Windows registry bejegyzések és egyéb, ismert APT-k indikátorai után kutatnak. A kutatók érdekes felfedezésnek tartják, hogy bár több százezer indikátor érhető el, ami APT-tevékenységhez kapcsolódik, az eszközök mégis mindössze 1-5 indikátort használtak. Ennek oka vélhetően az, hogy a működtető operátorok a lehető legkevesebb információhoz férjenek hozzá. A kutatás egyik vezetője, Bencsáth Boldizsár a SecurityWeek-nek elmondta, olyan mintát is találtak (SIG32), ami valószínűleg egy, a nyilvánosság előtt még ismeretlen APT-hez tartozik. A vizsgálatok eredményeit részletesen a Mexikóban megrendezésre kerülő Kaspersky Lab’s Security Analyst Summit (SAS) konferencián ismertetik.