«Лаборатория Касперского» обнаружила кибергруппировку Equation Group, которая, как выяснилось, ведет свою деятельность уже на протяжении почти 20 лет. По мнению экспертов антивирусной компании, операции кибершпионажа, которые проводила данная группа превосходят по своим масштабам, инструментам и эффективности все известные на сегодня вредоносные атаки.

Действия Equation Group затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира. Наибольшее количество жертв группировки было отмечено в России и Иране. Цели злоумышленников – это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ, исламские активисты и ученые.

Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах мира, в том числе в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. На данный момент специалисты «Лаборатории Касперского» контролирует около 20 серверов группы.

Equation Group имеет в своем арсенале большое количество зловредов, при этом некоторые из них крайне новаторские. Так, специалисты антивирусной компании впервые обнаружила модули, которые позволяют злоумышленникам перепрограммировать операционную систему жестких дисков 12 основных производителей. Попав в систему жесткого диска, зловред остается там навсегда. Его нельзя обнаружить, также как и избавиться от него. В этом даже не поможет форматирование накопителя.

Equation Group также использует червя Fanny, который позволяет получать данные с компьютера, отключенного от интернета.

Кроме того, «Лабораторей Касперского» установлено, что Equation Group взаимодействовала с другими кибергруппировками. По мнению экспертов, Equation Group могла делится с организаторами нашумевших кампаний Stuxnet и Flame, имевшимися у нее эксплойтами, использующими уязвимости нулевого дня. К примеру, еще в 2008 г. червь Fanny применял эксплойты, которые появились в Stuxnet только в июне 2009 г. и марте 2010 г., при этом один из этих эксплойтов являлся модулем Flame.

На начальной стадии заражения Equation Group может использовать до 10 эксплойтов, однако на практике редко применяется больше 3-х. Перебирая различные эксплойты, группа пытается проникнуть в систему, однако, если попытки не увенчиваются успехом, атакующие отступают.

Подобные попытки заражения пользователей блокируются продуктами «Лаборатории Касперского». Многие из атак Equation Group были предотвращены с помощью модуля «Автоматическая защита от эксплойтов», встроенного в решения «Лаборатории Касперского». В свою очередь, червь Fanny, предположительно появившийся в июле 2008 г., оказался в «черном списке» продуктов компании уже в декабре того же года.