Pangalan ng code na natagpuan sa Equation group malware ay nagmumungkahi ng link sa NSA

Tulad ng mga mananaliksik ng seguridad patuloy na pag-aralan malware na ginagamit ng isang sopistikadong grupo ng espionage na tinatawag na Equation, higit pang mga pahiwatig sa ibabaw na tumuturo sa US National Security Agency sa likod nito.

Noong Pebrero, ang Russian antivirus firm Kaspersky Lab ay naglabas ng malawak na ulat tungkol sa isang grupo na nagsagawa ng cyberespionage operations simula ng hindi bababa sa 2001 at posibleng kahit na sa likod ng 1996. Ang ulat na detalyado ang mga atake ng mga diskarte sa mga diskarte at mga tool sa malware.

Ang Kaspersky mananaliksik na tinatawag na Equation group at sinabi na ang mga kakayahan nito ay walang kapantay. Gayunpaman, hindi nila na-link ang grupo sa NSA o anumang iba pang ahensya ng katalinuhan, sa kabila ng pagkakatulad sa pagitan ng mga tool nito at mga inilarawan sa lihim na mga dokumento ng NSA na na-leaked ni Edward Snowden.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC ]

Kaspersky ay natagpuan mga pangalan ng code tulad ng SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER sa malware na ginamit ng pangkat ng Equation. Habang ang mga ito ay hindi direktang tumutugma sa mga pangalan ng NSA code na kilala sa ngayon, sila ay may kapansin-pansin na pagkakahawig sa ilan sa mga ito.

Ang isang lihim na dokumento na leaked sa pamamagitan ng Snowden at inilathala ng Aleman balita magazine Der Spiegel ay naglalaman ng isang listahan ng mga pangalan ng proyekto mula sa NSA's Pinasadya ang Mga Operasyon sa Pag-access sa Operasyon (TAO). Kasama sa listahan ang mga pangalan tulad ng SKYJACKBRAD, DRINKMINT at LUTEUSASTRO. Ayon sa isang iba't ibang mga dokumento, ang NSA ay may implant ng malware na tinatawag na STRAITBIZZARE at tumutukoy sa mga computer na nahawaan nito bilang QUANTUM shooters.

Ang mga mananaliksik ng Kaspersky ay natagpuan ang isang equation na bahagi ng malware na tinatawag na "standalonegrok." Ayon sa ulat ng Disyembre sa The Intercept, ang NSA ay may keylogger na pinangalanang GROK. dumating Miyerkules, kapag nai-publish ng Kaspersky Lab ang isang teknikal na pagsusuri ng pangunahing balangkas ng malware na ginamit ng pangkat ng Equation. Sa ulat, ang mga mananaliksik ng kumpanya ay nagsiwalat ng isa pang pangalan ng code na natagpuan kamakailan sa malware: BACKSNARF_AB25. Ang pangalan ng BACKSNARF code ay nakalista sa naunang nabanggit na dokumento tungkol sa mga proyektong NSA TAO.

Ang platform ng malware, na tinatawag na EquationDrug, ay may isang modular architecture at kahawig ng isang mini operating system, ayon sa mga mananaliksik ng Kaspersky. Sa ngayon 30 na mga plug-in ang natagpuan, ngunit ang platform ay maaaring magkaroon ng higit sa 115 mga module, ang bawat isa ay nagpapatupad ng iba't ibang pag-andar.

Mga istatistika batay sa mga oras ng selyo ng kompilasyon na natagpuan sa EquationDrug sample na nakolekta sa ngayon iminumungkahi na ang mga developer nito ay nagtatrabaho halos eksklusibo mula Lunes hanggang Biyernes at malamang na matatagpuan sa UTC-3 o UTC-4 na mga time zone, kung ipinapalagay namin na nagsisimula sila ng trabaho sa 8 o 9 ng umaga. Ang mga oras na mga selyo sa mga halimbawa ng malware ay hindi laging maaasahan, dahil ang mga developer ay maaaring baguhin ang mga ito, ngunit sa kaso ng EquationDrug, ang mga mananaliksik ng Kaspersky ay naniniwala na sila ay tumingin "napaka makatotohanang."