Кодовое имя, найденное в группе вирусов группы уравнений, предлагает ссылку на NSA

По мере того, как исследователи безопасности продолжают анализировать вредоносное ПО, используемое сложной шпионской группой, получившей название «Уравнение», больше поверхности подсказки указывают на то, что за ней стоит Агентство национальной безопасности США.

В феврале российская антивирусная фирма «Лаборатория Касперского» опубликовала обширный отчет о группе, которая проводила операции по киберспорению, по крайней мере, с 2001 года и, возможно, еще в 1996 году. В отчете подробно описаны методы атаки и вредоносные программы группы.

Исследователи из Касперского назвали группу Equation и сказали, что ее возможности непревзойденный. Тем не менее, они не связывали эту группу с NSA или каким-либо другим разведывательным агентством, несмотря на сходство между его инструментами и теми, что описаны в секретных документах NSA, просочившихся Эдвардом Сноуденом.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows ]

Kaspersky обнаружила коды, такие как SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER во вредоносных программах, используемых группой Equation. Несмотря на то, что они не были напрямую сопоставлены с известными до сих пор названиями кодов NSA, они имеют поразительное сходство с некоторыми из них.

В секретном документе, просочившемся Сноуденом и опубликованном немецким журналом новостей Der Spiegel, содержится список наименований проектов от NSA Управление доступом к секретному доступу (TAO). Список включает такие имена, как SKYJACKBRAD, DRINKMINT и LUTEUSASTRO. Согласно другому документу, NSA имеет вредоносный имплантат под названием STRAITBIZZARE и относится к компьютерам, зараженным им как КВАНТОВЫЕ стрелки. У него также есть программа FOXACID.

Исследователи обнаружили, что компонент вредоносного программного обеспечения Equation называется «standalonegrok». Согласно декабрьскому отчету The Intercept, NSA имеет кейлоггер с именем GROK.

Однако самая прямая ссылка появилась в среду, когда «Лаборатория Касперского» опубликовала технический анализ основной инфраструктуры вредоносных программ, используемой группой «Уравнение». В отчете исследователи компании обнаружили еще одно кодовое имя, недавно обнаруженное во вредоносной программе: BACKSNARF_AB25. Кодовое имя BACKSNARF приведено в вышеупомянутом документе о проектах TA в рамках НБА.

Вредоносная платформа, получившая название EquationDrug, имеет модульную архитектуру и напоминает мини-операционную систему, сказали исследователи Касперского. До сих пор было найдено 30 его плагинов, но на платформе может быть более 115 модулей, каждый из которых выполняет разные функциональные возможности.

Статистика, основанная на отметках времени компиляции, найденных в образцах EquationDrug, собранных до сих пор, говорит о том, что ее разработчики работают почти исключительно с понедельника по пятницу и, вероятно, находятся в часовых поясах UTC-3 или UTC-4, если мы предположим, что они начинают работу в 8 или 9 утра. Временные метки в образцах вредоносных программ не всегда надежны, потому что разработчики могут их изменять, но в случае EquationDrug исследователи считают, что они выглядят «очень реалистичными».