Războiul Rusia-SUA se mută în virtual. Kaspersky: numele de cod găsite în malware-ul Equation ar mirosi a NSA

Pe măsură ce analiştii în securitatea cibernetică continuă să analizeze malware-ul folosit de un grup sofisticat de spionaj numit Equation, tot mai multe indicii ies la iveală şi arată că NSA (Agenţia americană pentru Securitate Naţională) s-ar putea afla în spatele acestui malware, conform pcworld.

În februarie, compania rusă de antiviruşi Kaspersky Lab a publicat un raport cuprinzător în legătură cu un grup care a desfăşurat operaţiuni de spionaj cibernetic începând cu, cel puţin, anul 2001 şi posibil chiar din 1996. Raportul a detaliat tehnicile de atac ale grupului şi programele sale de tip malware.

Cercetătorii de la Kaspersky au poreclit grupul Equation şi au declarat că acesta dispune de capacităţi fără egal. Totuşi, ei nu au făcut o legătură între Equation şi NSA sau orice altă agenţie de informaţii, în ciuda similarităţii dintre programele folosite de grup şi cele descrise în documentele secrete ale NSA – documente divulgate recent de Edward Snowden.

Kaspersky a descoperit nume de cod precum SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER în malware-ul utilizat de grupul Equation. Deşi nu există o legătură directă între aceste nume de cod şi cele ale NSA cunoscute până acum, totuşi există o asemănare puternică între unele dintre ele.

Un document secret divulgat de Snowden şi publicat de revista germană Der Spiegel conţine o listă cu nume de proiecte ale diviziei Tailored Access Operations (TAO) din cadrul NSA. Lista include nume precum SKYJACKBRAD, DRINKMINT şi LUTEUSASTRO. Conform unui alt document, NSA deţine un implant de tip malware numit STRAITBIZZARE şi numeşte calculatoarele infectate cu el “QUANTUM shooters”. De asemenea, NSA dispune de un program numit FOXACID.

Cercetătorii de la Kaspersky au descoperit o componentă a malware-ului folosit de Equation ce poartă numele “standalonegrok”. Conform unui raport publicat în decembrie 2014 de magazinul The Intercept, NSA deţine un keylogger numit GROK.

Totuşi, cea mai directă legătură între grupul Equation şi NSA a apărut miercuri când Kaspersky Lab a publicat o analiză tehnică a cadrului principal al malware-ului folosit de Equation. În raport, cercetătorii companiei ruse au dezvăluit un alt nume de cod descoperit recent în malware: BACKSNARF_AB25. Numele de cod BACKSNARF este listat în documentul menţionat anterior în legătură cu proiectele TAO.

Platforma acestui malware, care a fost numit EquationDrug, are o arhitectură modulară şi seamănă cu un minisistem de operare, au declarat cercetătorii de la Kaspersky. Până acum au fost descoperite 30 dintre plug-in-urile sale dar platforma ar putea avea peste 115 module, fiecare implementând o funcţionalitate diferită, susţine pcworld.

Statisticile bazate pe o compilaţie de marcaje temporare, identificate la mostrele colectate până acum din EquationDrug, sugerează că proiectanţii acestui malware lucrează aproape exclusiv de luni până vineri şi sunt probabil localizaţi în zonele de fur orar UTC-3 sau UTC-4, dacă se ia în considerare posibilitatea ca ei îşi încep activitatea la ora 8 sau 9 dimineaţa. Marcajul temporal din mostrele de malware nu sunt întotdeauna de încredere deoarece dezvoltatorii lor le pot modifica dar, în cazul EquationDrug, cercetătorii de la Kaspersky consideră că aceste marcaje par să fie “foarte realiste”.

Dacă v-a plăcut acest articol, vă invităm să vă alăturaţi, dând un Like, comunităţii de cititori de pe pagina noastră de Facebook.