Fanny, código dañino desarrollado por Equation Group, nuevo informe del CCN-CERT

El CCN-CERT ha publicado en la parte privada del portal (de acceso restringido a los miembros de su Comunidad) el Informe de Código Dañino CCN-CERT ID-04/15 Fanny (Equation Group). El documento recoge el análisis de de uno de los componentes de la amenaza persistente avanzada "APT-EQUATION GROUP" y, en concreto, Fanny, un gusano con capacidad de propagarse por medio de USBs, incluso cuando estos cuenten con la funcionalidad de Autorun desactivada. Además, permite extraer información de equipos aislados que no cuenten con Internet ("air-gapped networks"). Para ello el gusano recibe órdenes desde el servidor de mando y control (C2) que serán ejecutadas una vez que el dispositivo de almacenamiento removible USB es conectado a un equipo aislado. El resultado de esas órdenes (por ejemplo, información sustraída de
la máquina) será almacenado en el USB y enviado de vuelta al C2 tan pronto se conecte a un equipo con conexión a Internet.

El informe detalla el análisis técnico de esta última amenaza, Fanny, describiendo los diversos mecanismos de detección que ayudan a identificar si un equipo ha sido comprometido por este gusano y las acciones correctivas para su desinfección.

Además, se recogen las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Detección en dispositivos móviles
  • Desinfección
  • Reglas de detección

Puede acceder al informe en la sección de Informes de Código Dañino del portal del CCN-CERT.

Ministerio de Defensa
CNI
CCN
CCN-CERT