Το όνομα κώδικα που βρέθηκε στην ομάδα εξισώσεων δείχνει σύνδεση με NSA

Δεδομένου ότι οι ερευνητές συνεχίζουν να αναλύουν κακόβουλα προγράμματα που χρησιμοποιούνται από μια εξελιγμένη ομάδα κατασκοπείας που ονομάζεται Equation, υπάρχουν περισσότερες ενδείξεις που δείχνουν ότι η αμερικανική Υπηρεσία Εθνικής Ασφάλειας βρίσκεται πίσω από αυτήν.

Το Φεβρουάριο η ρωσική εταιρεία προστασίας από ιούς Kaspersky Lab εξέδωσε εκτενή έκθεση για μια ομάδα που έχει πραγματοποιήσει επιχειρήσεις cyberespionage τουλάχιστον από το 2001 και πιθανότατα ακόμη και το 1996. Η έκθεση περιγράφει λεπτομερώς τις τεχνικές επίθεσης της ομάδας και τα εργαλεία κακόβουλου λογισμικού.

Οι ερευνητές της Kaspersky έχουν μεταγλωττίσει την ομάδα Equation και δήλωσαν ότι οι δυνατότητές της απαράμιλλος. Ωστόσο, δεν συνέδεσαν την ομάδα με την NSA ή με οποιαδήποτε άλλη υπηρεσία πληροφοριών, παρά τις ομοιότητες μεταξύ των εργαλείων της και εκείνων που περιγράφονται σε μυστικά έγγραφα των NSA που διαρρέουν ο Edward Snowden.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας των Windows ]

Το Kaspersky βρήκε κωδικό όνομα όπως το SKYHOOKCHOW, το DRINKPARSLEY, το LUTEUSOBSTOS, το STRAITACID, το STRAITSHOOTER στο κακόβουλο λογισμικό που χρησιμοποιεί ο όμιλος Equation. Ενώ αυτά δεν ήταν άμεση αντιστοιχία με τα γνωστά μέχρι τώρα ονόματα κωδικών NSA, αυτά φέρουν μια εντυπωσιακή ομοιότητα με μερικά από αυτά.

Ένα μυστικό έγγραφο που διαρρεύθηκε από το Snowden και δημοσιεύθηκε από το γερμανικό περιοδικό Der Spiegel περιέχει μια λίστα με ονόματα έργων από τα NSA's Τμήμα Επιχειρήσεων Προσαρμοσμένης Πρόσβασης (TAO). Η λίστα περιλαμβάνει ονόματα όπως SKYJACKBRAD, DRINKMINT και LUTEUSASTRO. Σύμφωνα με ένα διαφορετικό έγγραφο, το NSA διαθέτει ένα εμφύτευμα κακόβουλου λογισμικού που ονομάζεται STRAITBIZZARE και αναφέρεται σε υπολογιστές που έχουν μολυνθεί από αυτό ως σκοπευτές QUANTUM. Έχει επίσης ένα πρόγραμμα που ονομάζεται FOXACID.

Οι ερευνητές της Kaspersky βρήκαν ένα συστατικό malware εξισώσεων που ονομάζεται "standalonegrok." Σύμφωνα με μια αναφορά του Δεκεμβρίου στο The Intercept, η NSA έχει ένα keylogger που ονομάζεται GROK. ήρθε την Τετάρτη, όταν η Kaspersky Lab δημοσίευσε μια τεχνική ανάλυση του κύριου πλαισίου κακόβουλου λογισμικού που χρησιμοποίησε ο όμιλος Equation. Στην έκθεση, οι ερευνητές της εταιρείας αποκάλυψαν ένα άλλο όνομα κώδικα που βρέθηκε πρόσφατα στο κακόβουλο λογισμικό: BACKSNARF_AB25. Το όνομα του κώδικα BACKSNARF παρατίθεται στο προηγούμενο έγγραφο σχετικά με τα έργα του NSA TAO.

Η πλατφόρμα malware, η οποία μετονομάστηκε σε EquationDrug, έχει αρθρωτή αρχιτεκτονική και μοιάζει με ένα μίνι λειτουργικό σύστημα, σύμφωνα με τους ερευνητές της Kaspersky. Μέχρι στιγμής έχουν βρεθεί 30 από τα plug-in, αλλά η πλατφόρμα μπορεί να έχει περισσότερες από 115 ενότητες, με διαφορετικές λειτουργίες.

Τα στατιστικά στοιχεία που βασίζονται σε χρονικά γραφήματα συλλογής που βρέθηκαν στα δείγματα EquationDrug που συλλέχθηκαν μέχρι τώρα δείχνουν ότι οι προγραμματιστές τους εργάζονται σχεδόν αποκλειστικά από Δευτέρα έως Παρασκευή και πιθανότατα βρίσκονται στις ζώνες UTC-3 ή UTC-4, αν υποθέσουμε ότι θα αρχίσουν να εργάζονται στις 8 ή 9 π.μ. Οι χρονικές σφραγίδες σε δείγματα κακόβουλου λογισμικού δεν είναι πάντα αξιόπιστες, επειδή οι προγραμματιστές μπορούν να τις αλλάξουν, αλλά στην περίπτωση της EquationDrug, οι ερευνητές της Kaspersky πιστεύουν ότι φαίνονται "πολύ ρεαλιστές".