BlueHat v18 || Killsuit the equation group's swiss army knife for persistence
Kao sigurnosni istraživači i dalje analiziraju zlonamjerni softver koji koristi sofisticirana skupina špijunaža pod nazivom "Jednadžba", još više tragova koji upućuju na to da je iza nje američka nacionalna sigurnosna agencija.
U veljači, ruska protuvirusna tvrtka Kaspersky Lab objavila je opsežno izvješće o grupi koja je provela operacije u kiberespionaciji od najmanje 2001, a možda čak i još 1996. godine. Izvješće detaljno opisuje tehnike napada i zlonamjerni alat grupe.
Kasperskyovi istraživači su nazvali grupu Equation i rekli da su njegove mogućnosti bez premca. Međutim, nisu povezali skupinu s NSA-om ili bilo kojom drugom inteligentnom agencijom, unatoč sličnostima između njegovih alata i onih opisanih u tajnim NSA dokumentima koje je procurio Edward Snowden.
[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala ]Kaspersky je pronašao kodne nazive poput SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER u zlonamjernom softveru koji koristi skupina Equation. Iako se one nisu izravno podudarale s poznatim NSA kodnim imenima, one su impresivne sličnosti nekima od njih.
Tajni dokument koji je izumio Snowden i objavio njemački časopis Der Spiegel sadrži popis naziva projekata iz NSA Odjel za prilagođenu operaciju pristupa (TAO). Popis uključuje imena poput SKYJACKBRAD, DRINKMINT i LUTEUSASTRO. Prema drugom dokumentu, NSA ima zlonamjerni implantat pod nazivom STRAITBIZZARE i odnosi se na računala zaražena s njim kao QUANTUM strijelci.
Kasperskyovi istraživači našli su jednadžbu zlonamjernu komponentu pod nazivom "standalonegrok". Prema izvještaju iz prosinca u The Interceptu, NSA ima keylogger pod nazivom GROK.
Međutim, najizravnija veza došlo je u srijedu, kada je Kaspersky Lab objavio tehničku analizu glavnog malware okvira koji koristi Equation grupa. U izvješću, istraživači tvrtke otkrili su još jedan kodni naziv nedavno pronađen u zlonamjernom softveru: BACKSNARF_AB25. BACKSNARF kodni naziv naveden je u prethodno spomenutom dokumentu o NSA TAO projektima.
Malware platforma, nazvana EquationDrug, ima modularnu arhitekturu i nalikuje mini operativnom sustavu, rekli su Kaspersky istraživači. Do sada je pronađeno 30 njegovih dodataka, ali platforma može imati više od 115 modula, od kojih svaka provodi različite funkcije.
Statistika temeljena na vremenskim oznakama prikupljenim u uzorcima iz jednadžbi EquationDrug ukazuju na to da njezini razvojni programeri rade gotovo isključivo od ponedjeljka do petka i vjerojatno se nalaze u vremenskim zonama UTC-3 ili UTC-4, ako pretpostavimo da započinju s radom u 8 ili 9 sati ujutro. Vremenske oznake u uzorcima zlonamjernih programa nisu uvijek pouzdane, jer ih programeri mogu mijenjati, ali u slučaju EquationDrug, istraživači Kasperskyja vjeruju da izgledaju "vrlo realistični".
Naziv kodova koji se nalazi u zlonamjernom softveru Equation grupe ukazuje na vezu na NSA
Ime odgovara NSA projektu navedenom u tajnom dokumentu koji je procurio Edward Snowden
5 Stvari koje trebate znati o ransomu, zastrašujućem zlonamjernom softveru koji blokira podatke
Ransomware postao je pravi štetu za potrošače, tvrtke, pa čak i državne institucije. Nažalost, nema kraja u očima, pa evo što biste trebali znati.
