Kelerius metus „Kaspersky Lab“ tyrinėjo daugiau nei 60 įvairių kibernetinio šnipinėjimo operacijų visame pasaulyje, tačiau tai, ką bendrovės ekspertai neseniai aptiko, mastu, instrumentais ir efektyvumu pranoksta visas iki šiol žinomas atakas. Kibernetinė grupė „Equation Group“ veiklą vykdo beveik 20 metų, ir jos veiksmai pakenkė tūkstančiams, o gal ir dešimtims tūkstančių vartotojų daugiau nei 30 pasaulio šalių. Didžiausias „Equation Group“ aukų skaičius buvo užfiksuotas Rusijoje ir Irane.
Skirtingai nei instrumentai, sukčių tikslai visiškai tradiciniai – tai vyriausybės ir diplomatinės struktūros, karo institucijos, finansinės institucijos, telekomunikacijos, aerokosmoso, energetikos, branduoliniai, naftos ir dujų, transporto pramonių įmonės, užsiimančios kriptografinės ir nanotechnologijos plėtra, taip pat žiniasklaida, Islamo aktyvistai ir mokslininkai.
„Equation Group“ infrastruktūroje – daugiau nei 300 domenų ir 100 kontrolės komandinių serverių įvairiose šalyse, konkrečiai – JAV, Didžiojoje Britanijoje, Italijoje, Vokietijoje, Nyderlanduose, Panamoje, Kosta Rikoje, Malaizijoje, Kolumbijoje ir Čekijoje. Šiuo metu „Kaspersky Lab“ kontroliuoja apie 20 grupės serverių.
„Equation Group“ arsenale – daugybė virusų, kai kurie jų labai novatoriški. Pavyzdžiui, „Kaspersky Lab“ pirmą kartą savo praktikoje aptiko modulių, kurie leidžia perprogramuoti 12 pagrindinių gamintojų operacinę kietųjų diskų sistemą. Taigi tokiu būdu sukčiai siekia dviejų tikslų: pirma, kartą patekęs į operacinę kietojo disko sistemą virusas ten lieka visam laikui – jo neįmanoma nei aptikti, nei pašalinti net formatuojant diską. Antra, atakuojantieji turi galimybę susikurti ramią slaptos saugyklos pavidalo vietelę, kur saugiai gali būti renkama visa reikalinga informacija.
Be to, „Equation Group“ taiko kirminą „Fanny“, kuris leidžia gauti duomenis iš kompiuterio, net jei jis atjungtas nuo interneto. Šiuo tikslu per jau užkrėstą kompiuterį atakuojantieji apgyvendina kirminą USB atminties nešyklėje, ir šis virusas ten kuria slaptą sektorių, kuriame renka informaciją apie izoliuoto tinklo architektūrą. Patekimo į prie interneto prijungtą kompiuterį momentu kirminas iš USB perduoda visus duomenis į „Equation Group“ serverį. Atakuojantieji taip pat gali pridėti reikalingas komandas į tą patį nešyklėje paslėptą sektorių, patekęs į izoliuotą kompiuterį kirminas atliks šias komandas.
Be to, „Kaspersky Lab“ nustatė, kad „Equation Group“ veikė kartu su kitomis kibernetinėmis grupuotėmis, konkrečiai su garsiųjų kampanijų „Stuxnet“ ir „Flame“ organizatoriais. Greičiausiai „Equation Group“ su kolegomis dalijosi turimais eksploitais, naudojančiais nulinės dienos pažeidžiamumus. Pavyzdžiui, 2008 m. kirminas „Fanny“ taikė tuos eksploitus, kurie „Stuxnet“ atsirado tik 2009 m. birželį ir 2010 m. kovą, ir vienas tų eksploitų buvo „Flame“ modulis.
Kaip išsiaiškino „Kaspersky Lab“ ekspertai, per pirmą užkrėtimo stadiją „Equation Group“ gali naudoti iki 10 eksploitų, tačiau praktikoje retai taikoma daugiau kaip trys. Bandžiusi iš eilės tris įvairius eksploitus, grupuotė stengiasi patekti į sistemą, bet jei visi trys bandymai nepasiseka, atakuojantieji traukiasi.
Panašūs vartotojų užkrėtimo bandymai blokuojami „Kaspersky Lab“ produktų. Dauguma „Equation Group“ atakų buvo sustabdytos taikant modulį „Automatinė apsauga nuo eksploitų“, įtrauktą į „Kaspersky Lab“ sprendimus. Savo ruožtu kirminas „Fanny“, galimai atsiradęs 2008 m. liepą, atsidūrė juodajame bendrovės produktų sąraše 2008 m. gruodį.
