На протяжении многих лет «Лаборатория Касперского» изучала более 60 различных операций кибершпионажа по всему миру, однако то, что эксперты компании обнаружили совсем недавно, превосходит по своим масштабам, инструментам и эффективности все известные на сегодня вредоносные атаки. Кибергруппа, получившая название Equation Group, ведёт свою деятельность на протяжении почти двадцати лет, и её действия затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира. Наибольшее количество жертв Equation Group было зафиксировано в России и Иране.
Цели злоумышленников вполне традиционны – это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ, исламские активисты и учёные.
Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. В настоящее время «Лаборатория Касперского» контролирует около 20 серверов группы.
В арсенале Equation Group имеется множество зловредов, и некоторые из них весьма новаторские. К примеру, «Лаборатория Касперского» впервые в своей практике обнаружила модули, которые позволяют перепрограммировать прошивку жёстких дисков 12 основных производителей. Однажды попав в прошивку жёсткого диска, зловред остается там навсегда – его невозможно ни обнаружить, ни избавиться от него: он не может быть удалён даже в случае форматирования диска. При этом у атакующих есть возможность создать своего рода секретное хранилище, где может безопасно собираться вся необходимая информация.
Кроме того, Equation Group использует червя Fanny, который позволяет получать данные с компьютера, даже если он отключен от Глобальной сети. Для этого через уже заражённый компьютер атакующие «поселяют» червя в USB-флешке, и этот зловред в свою очередь создает на съёмном носителе скрытый сектор, в который собирает всю информацию об архитектуре изолированной сети. В момент попадания на компьютер, подключенный к Интернету, червь с USB передает все данные на сервер Equation Group. Атакующие также могут добавить необходимые команды в тот же скрытый сектор на флешке, и впоследствии при попадании на изолированную машину червь выполнит эти команды.
Было установлено, что Equation Group взаимодействовала с другими кибергруппировками, в частности с организаторами нашумевших кампаний Stuxnet и Flame. По всей вероятности, Equation Group делилась с «коллегами» имевшимися у неё эксплойтами, использующими уязвимости нулевого дня. Например, в 2008 году червь Fanny применял те эксплойты, которые появились в Stuxnet только в июне 2009-го и марте 2010-го, при этом один из этих эксплойтов являлся модулем Flame.
Как выяснили эксперты «Лаборатории Касперского», на начальной стадии заражения Equation Group может использовать до 10 эксплойтов, однако на практике редко применяется больше трёх. Пробуя по очереди три разных эксплойта, группировка пытается проникнуть в систему, но, если все три попытки не увенчиваются успехом, атакующие отступают.