Kelerius metus „Kaspersky Lab“ tyrinėjo daugiau nei 60 įvairių kibernetinio šnipinėjimo operacijų visame pasaulyje, tačiau tai, ką bendrovės ekspertai neseniai aptiko, mastu, veikimo priemonėmis ir efektyvumu pranoksta visas iki šiol žinomas atakas.
Kibernetinė grupė „Equation Group“ veiklą vykdo beveik 20 metų, ir jos veiksmai pakenkė tūkstančiams, o gal ir dešimtims tūkstančių vartotojų daugiau nei 30 pasaulio šalių. Didžiausias „Equation Group“ aukų skaičius buvo užfiksuotas Rusijoje ir Irane.
Skirtingai nei veikimo priemonės, sukčių tikslai visiškai tradiciniai – tai vyriausybės ir diplomatinės, karo, finansų institucijos, telekomunikacijos, aerokosmoso, energetikos, branduolinės, naftos ir dujų, transporto pramonių įmonės, užsiimančios kriptografinės technologijos ir nanotechnologijos plėtra, taip pat žiniasklaida, islamo aktyvistai ir mokslininkai.
„Equation Group“ infrastruktūroje – daugiau nei 300 domenų ir 100 kontrolės komandinių serverių įvairiose šalyse, konkrečiai – JAV, Didžiojoje Britanijoje, Italijoje, Vokietijoje, Nyderlanduose, Panamoje, Kosta Rikoje, Malaizijoje, Kolumbijoje ir Čekijoje. Šiuo metu „Kaspersky Lab“ kontroliuoja apie 20 grupės serverių.
„Equation Group“ arsenale – daugybė virusų, kai kurie jų labai novatoriški. Pavyzdžiui, „Kaspersky Lab“ pirmą kartą savo praktikoje aptiko modulių, kurie leidžia perprogramuoti 12 pagrindinių gamintojų operacinę standžiųjų diskų sistemą. Taigi, šitaip sukčiai siekia dviejų tikslų. Pirma, kartą patekęs į operacinę standžiojo disko sistemą virusas ten lieka visam laikui – jo neįmanoma nei aptikti, nei pašalinti net formatuojant diską. Antra, atakuojantieji turi galimybę susikurti ramią slaptos saugyklos pavidalo vietelę, kur gali būti saugiai renkama visa reikalinga informacija.
Be to, „Equation Group“ taiko kirminą „Fanny“, kuris leidžia gauti duomenis iš kompiuterio, net jei jis atjungtas nuo interneto. Šiuo tikslu per jau užkrėstą kompiuterį atakuojantieji apgyvendina kirminą USB atminties nešyklėje, ir šis virusas ten kuria slaptą sektorių, kuriame renka informaciją apie izoliuoto tinklo architektūrą. Patekimo į prie interneto prijungtą kompiuterį momentu kirminas iš USB perduoda visus duomenis į „Equation Group“ serverį. Atakuojantieji taip pat gali pridėti reikalingas komandas į tą patį nešyklėje paslėptą sektorių – patekęs į izoliuotą kompiuterį kirminas atliks šias komandas.
Be to, „Kaspersky Lab“ nustatė, kad „Equation Group“ veikė kartu su kitomis kibernetinėmis grupuotėmis, konkrečiai su garsiųjų kampanijų „Stuxnet“ ir „Flame“ organizatoriais. Greičiausiai „Equation Group“ su kolegomis dalijosi turimais eksploitais, naudojančiais nulinės dienos pažeidžiamumus. Pavyzdžiui, 2008 metais kirminas „Fanny“ taikė tuos eksploitus, kurie „Stuxnet“ atsirado tik 2009 metų birželį ir 2010-ųjų kovą, ir vienas tų eksploitų buvo „Flame“ modulis.
Kaip išsiaiškino „Kaspersky Lab“ ekspertai, per pirmą užkrėtimo stadiją „Equation Group“ gali naudoti iki 10 eksploitų, tačiau praktikoje retai taikoma daugiau kaip trys. Bandydama iš eilės tris įvairius eksploitus grupuotė stengiasi patekti į sistemą, bet jei visi trys bandymai nepasiseka, atakuojantieji traukiasi.
