Rozprawa przed NSA w sprawie rejestracji KLPS
Podczas gdy badacze bezpieczeństwa nadal analizują szkodliwe oprogramowanie używane przez wyrafinowaną grupę szpiegowską zwaną Równaniem, więcej śladów wskazuje na to, że za tym stoi amerykańska Agencja Bezpieczeństwa Narodowego.
W lutym rosyjska firma antywirusowa Kaspersky Lab opublikowała obszerny raport o grupie, która przeprowadziła operacje cyberespionage od co najmniej 2001 r., a może nawet już w 1996 r. W raporcie opisano techniki ataku i narzędzia złośliwego oprogramowania grupy.
Naukowcy z Kaspersky nazwali grupę Equation i powiedzieli, że jej możliwości są bezkonkurencyjny. Jednak nie powiązali tej grupy z NSA ani żadną inną agencją wywiadowczą, pomimo podobieństw między jej narzędziami a tymi opisanymi w tajnych dokumentach NSA ujawnionych przez Edwarda Snowdena.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows ]Kaspersky znalazł kodowe nazwy, takie jak SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER w szkodliwym oprogramowaniu używanym przez grupę Equation. Chociaż nie były to bezpośrednie odpowiedniki znanych dotąd nazw kodów NSA, są one uderzająco podobne do niektórych z nich.
Tajny dokument ujawniony przez Snowdena i opublikowany przez niemiecki magazyn informacyjny Der Spiegel zawiera listę nazw projektów od NSA Dział operacji dostosowanego dostępu (TAO). Lista zawiera nazwy takie jak SKYJACKBRAD, DRINKMINT i LUTEUSASTRO. Zgodnie z innym dokumentem, NSA ma implant złośliwego oprogramowania o nazwie STRAITBIZZARE i odnosi się do komputerów zainfekowanych nim jako strzelanki QUANTUM. Ma również program o nazwie FOXACID.
Naukowcy z Kaspersky Lab znaleźli komponent złośliwego oprogramowania do równania o nazwie "standalonegrok". Według grudniowego raportu w The Intercept, NSA ma keylogger o nazwie GROK.
Jednak najbardziej bezpośredni link Przyszedł środa, kiedy Kaspersky Lab opublikował analizę techniczną głównego frameworka złośliwego oprogramowania używanego przez grupę Equation. W raporcie naukowcy firmy ujawnili inną nazwę kodu znalezioną niedawno w szkodliwym oprogramowaniu: BACKSNARF_AB25. Nazwa kodu BACKSNARF jest wymieniona we wcześniej wspomnianym dokumencie dotyczącym projektów NSA TAO.
Platforma szkodliwego oprogramowania, która została nazwana EquationDrug, ma modułową architekturę i przypomina mini system operacyjny, stwierdzili naukowcy z Kaspersky Lab. Do tej pory znaleziono 30 jego wtyczek, ale platforma może mieć ponad 115 modułów, z których każdy implementuje inną funkcjonalność.
Statystyki oparte na znacznikach czasowych kompilacji znalezionych w próbkach EquationDrug zebranych do tej pory sugerują, że ich programiści pracują prawie wyłącznie od poniedziałku do piątku i prawdopodobnie znajdują się w strefach czasowych UTC-3 lub UTC-4, jeśli przyjmiemy, że zaczynają pracę o 8 lub 9 rano. Znaczniki czasu w próbkach złośliwego oprogramowania nie zawsze są wiarygodne, ponieważ programiści mogą je zmieniać, ale w przypadku EquationDrug, naukowcy z Kaspersky Lab uważają, że wyglądają "bardzo realistycznie".
Nazwa kodowa znaleziona w grupie szkodników sugeruje link do NSA
Nazwa pasuje do projektu NSA wymienionego w tajnym dokumencie ujawnionym przez Edwarda Snowdena
Obsługa czterordzeniowego ramienia procesora znaleziona w xcode, szybko usuwana przez Apple
Obsługa czterordzeniowego procesora ARM w Xcode, szybko usunięta przez Apple
