Denklem grubu kötü amaçlı yazılımında bulunan kod adı, NSA'ya bağlantıyı önerir

Güvenlik araştırmacıları, Denklem olarak adlandırılan sofistike bir casusluk grubu tarafından kullanılan kötü amaçlı yazılımları analiz etmeye devam ettikçe, ABD Ulusal Güvenlik Ajansının arkasında yer alan daha fazla ipucu yüzeyi.

Şubat ayında, Rus antivirüs firması Kaspersky Lab kapsamlı bir rapor yayınladı. En az 2001 yılından bu yana ve muhtemelen 1996 yılına kadar siberpresyon operasyonları yürüten bir grup hakkında. Rapor, grubun saldırı teknikleri ve kötü amaçlı yazılım araçlarını ayrıntılı olarak açıkladı.

Kaspersky araştırmacıları Denklem grubunu isimlendirdiler ve yeteneklerini belirttiler. rakipsiz. Bununla birlikte, araçları, araçları ve Edward Snowden tarafından sızdırılan gizli NSA belgelerinde açıklananlar arasındaki benzerliklere rağmen, NSA'ya veya başka bir istihbarat birimine bağlanmadılar.

[Ekstra okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır ]

Kaspersky, Denklem grubu tarafından kullanılan kötü amaçlı yazılımda SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER gibi kod isimleri buldu. Bunlar, şu ana kadar bilinen NSA kod adlarıyla doğrudan bir eşleşme olmasa da, bazıları için çarpıcı bir benzerlik taşıyorlar.

Snowden tarafından sızdırılan ve Alman haber dergisi Der Spiegel tarafından yayınlanan gizli bir doküman NSA'ların proje isimlerinin bir listesini içeriyor. Uyarlanmış Erişim Operasyonları (TAO) bölümü. Liste SKYJACKBRAD, DRINKMINT ve LUTEUSASTRO gibi isimleri içerir. Farklı bir belgeye göre, NSA, STRAITBIZZARE adlı bir kötü amaçlı yazılım implantına sahiptir ve KUANTUM atıcıları olarak onunla bulaşan bilgisayarlara atıfta bulunmaktadır. Ayrıca FOXACID adında bir program var.

Kaspersky araştırmacıları "standalonegrok" adında bir Denklem kötü amaçlı yazılım bileşeni buldular. Intercept'teki Aralık raporuna göre NSA, GROK adında bir keylogger var.

Bununla birlikte, en doğrudan bağlantı Kaspersky Lab, Denklem grubunun kullandığı ana kötü amaçlı yazılım çerçevesinin teknik analizini yayınladığı Çarşamba günü geldi. Raporda, şirketin araştırmacıları yakın zamanda kötü amaçlı yazılımlarda bulunan başka bir kod ismini ortaya çıkardı: BACKSNARF_AB25. BACKSNARF kod adı, NSA TAO projeleri hakkında daha önce sözü edilen belgede listelenmiştir.

DenklemDrug adı verilen kötü amaçlı yazılım platformu, modüler bir mimariye sahip ve bir mini işletim sistemine benzediğini belirtti. Şimdiye kadar, eklentilerinin 30'u bulundu, ancak platformda her biri farklı işlevler uygulayan 115'den fazla modül bulunabilir.

Bugüne kadar toplanan EquationDrug örneklerinde bulunan derleme zaman damgalarına dayalı istatistikler, geliştiricilerin çalıştıklarını gösteriyor. neredeyse sadece pazartesiden cumaya kadar ve muhtemelen UTC-3 veya UTC-4 saat diliminde, eğer 8 ya da 9'da çalışmaya başlayacaklarını varsayarsak. Kötü amaçlı yazılım örneklerinde zaman damgaları her zaman güvenilir değildir, çünkü geliştiriciler bunları değiştirebilir, ancak EquationDrug söz konusu olduğunda, Kaspersky araştırmacıları “çok gerçekçi” olduklarına inanırlar.