Kódnév szerepel az Equation group malware-ben az NSA

A biztonsági kutatók továbbra is elemezik az egyenlet által szimbolizált kémfigyelő csoport által használt rosszindulatú szoftvereket, több nyomelem felszín, ami arra utal, hogy az Egyesült Államok Nemzeti Biztonsági Hivatala mögött áll.

Februárban az orosz vírusvédelmi cég, a Kaspersky Lab kiadta a kiterjedt jelentést egy olyan csoportról, amely legalább 2001 óta és esetleg akár 1996-ban is folytatta a kibernetikai műveleteket. A jelentés részletesen bemutatta a csoport támadási technikáit és malware eszközöket.

A Kaspersky kutatói az Equation csoportot nevezték el és azt mondták, hogy képességei páratlan. Azonban nem kapcsolták össze a csoportot az NSA-val vagy bármely más hírszerző ügynökséggel, annak ellenére, hogy az eszközei és a titkos NSA-dokumentumok, amelyeket Edward Snowden szivárogtatott, szimuláltak.

[További olvasnivaló: ]

A Kaspersky olyan kódneveket talált, mint a SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER az Equation csoport által használt rosszindulatú programokban. Bár ezek nem egyeznek közvetlenül az eddig ismert NSA-kódnevekkel, ezek némiképp feltűnően hasonlítanak.

A Snowden által kiszivárgott és a német Der Spiegel magazin által közzétett titkos dokumentum tartalmazza az NSA-projektek nevének listáját Szabványos hozzáférési műveletek (TAO). A lista olyan neveket tartalmaz, mint a SKYJACKBRAD, DRINKMINT és LUTEUSASTRO. Egy másik dokumentum szerint az NSA-nak rosszindulatú beültetése van a STRAITBIZZARE néven, és a QUANTUM lövöldözéssel fertőzött számítógépekre utal. A Kaspersky kutatói egy Equation malware összetevőt találtak, a "standalonegrok" címet. A decemberi jelentés szerint az NSA-nak egy GROK nevű keylogger van.

A legközvetlenebb link amikor a Kaspersky Lab technikai elemzést adott ki az Equation csoport által használt fő malware keretrendszerről. A jelentésben a cég kutatói egy újabb kódnevet fedeztek fel a rosszindulatú programokban: BACKSNARF_AB25. A BACKSNARF kódnév szerepel az előzőekben említett dokumentumban az NSA TAO projektekről.

A malware platform, amelyet az EquationDrug-nak neveztek, moduláris architektúrával rendelkezik, és hasonlít egy mini operációs rendszerre, mondta a Kaspersky kutatói. Eddig 30 bővítményt találtunk, de a platform több mint 115 modulot tartalmazhat, amelyek mindegyike különböző funkcionalitást valósít meg.

Az eddig összegyűjtött EquationDrug mintákban található összeállítási időbélyegeken alapuló statisztikák arra utalnak, hogy fejlesztői dolgoznak szinte kizárólag hétfőtől péntekig, és valószínűleg az UTC-3 vagy UTC-4 időzónákban találhatók, ha feltételezzük, hogy 8-tól 9-ig indulnak. A rosszindulatú minták időbélyege nem mindig megbízható, mert a fejlesztők megváltoztathatják őket, de az EquationDrug esetében a Kaspersky kutatói úgy vélik, hogy "nagyon reálisak".