Неизвестными лицами в открытый доступ был выложен архив, содержащий часть наработок Equation Group, представляющей из себя группу, ответственную за самые масштабные кибератаки последних лет. 

Кибергруппа, получившая название Equation Group, ведет свою деятельность на протяжении почти двадцати лет, и ее действия затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира. Наибольшее количество жертв Equation Group было зафиксировано в России и Иране.

В отличие от инструментов, цели злоумышленников вполне традиционны – это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ, исламские активисты и ученые.

Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. В настоящее время «Лаборатория Касперского» контролирует около 20 серверов группы.

Длинный список технических находок свидетельствует о высоком мастерстве участников Equation Group, их усердной работе и неограниченных ресурсах. В список входят:

  • Использование виртуальных файловых систем — функции, которая также содержится в сложном вредоносном ПО Regin. Недавно опубликованные документы, предоставленные Эдвардом Сноуденом, свидетельствуют, что АНБ США (Агентство национальной безопасности) использовало Regin для заражения частично принадлежащей государству бельгийской компании Belgacom.
  • Размещение вирусов в разных ветвях реестра зараженного компьютера. Благодаря шифрованию всех вредоносных файлов и размещению их в различных ветвях реестра Windows заражение было невозможно обнаружить с помощью антивирусных программ.
  • Схемы переадресации, которые направляли пользователей iPhone на уникальные веб-страницы с ловушками. В дополнение к этому зараженные компьютеры, которые передавали отчеты на командные сервера Equation Group, проходили идентификацию как компьютеры Mac, то есть группировка успешно взламывала устройства под управлением iOS и OS X.
  • Использование более чем 300 доменов и 100 серверов для размещения разветвленной командной и управляющей инфраструктуры.
  • Разведывательные программы на USB-накопителях для изучения структуры изолированных сетей, которые настолько секретны, что не подключаются к интернету. Червь Stuxnet и связанное с ним вредоносное ПО Flame также обладали возможностью попадания в изолированные сети.
  • Необычный, если не уникальный, способ обойти ограничения в современных версиях Windows, которые требуют, чтобы любое ПО сторонних производителей, работающее с ядром операционной системы, обладало цифровой подписью признанного поставщика сертификатов. Для обхода этих ограничений хакеры Equation Group использовали уязвимость уже подписанного драйвера программы CloneCD, чтобы добиться выполнения своего кода на уровне ядра.

Equation Group в 2008 году использовали четыре уязвимости нулевого дня, включая две, которые в дальнейшем использовались червем Stuxnet.  Вредоносное ПО Equation Group под названием GrayFish шифровало свой основной рабочий код с использованием хеш-суммы для 1000-кратного повторения уникального идентификатора объекта файловой системы NTFS целевого компьютера. Это не позволяет исследователям получить доступ к окончательному рабочему коду без полного образа диска для каждого отдельного зараженного компьютера. Методика сильно напоминает ту, которая использовалась для маскировки потенциально мощного вредоносного кода в Gauss, еще одном образце передового зловредного ПО, который также обладал сильными сходствами с Stuxnet и Flame. (Согласно данным, червь Stuxnet был совместной разработкой АНБ США и спецслужб Израиля, а Flame разрабатывался при участии АНБ, ЦРУ и израильских военных).
Помимо технического сходства с разработками Stuxnet и Flame участники Equation Group могут похвастаться уровнем технической подготовки, который обычно ожидают от сотрудников разведывательного ведомства, финансируемого богатейшей страной мира. Например, одна из зловредных платформ Equation Group переписывала прошивку жесткого диска зараженных компьютеров — невиданное техническое изобретение, которое достигало своей цели на накопителях 12 различных категорий таких производителей, как Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba и Seagate.
Затем прошивка формировала секретную область, которая выдерживала самую глубокую очистку диска и переформатирование, что позволяло похищать секретные данные даже после переустановки операционной системы. Эта прошивка также создавала программные интерфейсы, к которым мог получать доступ другой код из разветвленной библиотеки Equation Group. После однократного заражения жесткого диска вирус невозможно было обнаружить или удалить.

Информация и детали аукциона по продаже наработок Equation Group: https://theshadowbrokers.tumblr.com/