Российская компания – автор известной на весь мир линейки антивирусов – заявила о том, что ею были обнаружены следы одной из самых опасных кибергрупп злоумышленников с условным названием Equation, создающей опасные трояны, заражавшие компьютеры как минимум с 2001 года.
Исследуя случаи заражения компьютеров, сотрудники компании обратили внимание на определённую закономерность и общие особенности в структуре некоторых вирусов.
Так, были выявлены несколько цепочек вирусов, являющихся потомками друг друга, вирусы обращавшиеся к родственным ресурсам в интернете. Некоторые трояны использовали избыточный уровень криптографии, также имевшей довольно специфические элементы. При этом ни один из этих вирусов не имел исходников, находившихся в свободном доступе.
Эти соответствия убедили сотрудников антивирусной компании, что перед ними – организованная группа, которая за любовь к криптографии получила от лица экспертов название Equation.
"Лаборатория Касперского" не называет национальную принадлежность этой группы прямо, но приводит весьма любопытные сведения.
- Наибольшее количество атакованных группой компьютеров находится в Иране. На втором месте – Россия, далее идут Пакистан, Афганистан, Китай, Мали, Сирия, Йемен и Алжир.
- Атакам подвергались "правительственные и военные учреждения, телекоммуникационные и энергетические компании, банки, атомные исследовательские центры, СМИ и активисты".
- Заражение компьютеров осуществлялось в несколько этапов. Первоначально компьютер заражался обычным, более распространённым вирусом и оценивался потенциал его владельца. Если хозяин компьютера был интересен злоумышленникам, то на гаджет устанавливался специальный троян самых последних версий. В противном случае вирусы и вовсе могли исчезнуть с заражённого компьютера.
- Достоверно известно, что один из вирусов, созданных группой, был использован против Ирана по прямому заказу американского АНБ.
Примечательно, что самая серьёзная линейка вирусов, использованных группой Equation, заражает сами винчестеры компьютеров на уровне, недоступном для обнаружения и лечения обычными антивирусными средствами. Заражается при этом сама прошивка (firmware) винчестера, а уязвимыми являются не только классические HDD всех известных производителей, но и SSD-накопители.
Эксперты отмечают, что подобное не может быть реализовано на уровне обычных хакерских групп, ведь для функционирования подобного вируса и полноценной работы накопителей разных производителей программистам-злоумышленникам требуются не только знания в соответствующей области, но и наличие исходников оригинальных прошивок.
Информационное агентство Reuters получило подтверждение изложенных "Лабораторией Касперского" данных от бывших сотрудников АНБ, которые утверждают, что спецслужбы США разрабатывали технологию по сокрытию "шпионских программ" на винчестерах заражённых компьютеров.
Представители компаний-производителей HDD заявили, что ничего не знают об уязвимости, и отказались давать комментарии.