Kode navn fundet i Equation gruppe malware foreslår link til NSA

Som sikkerhedsforskere fortsætter med at analysere malware, der anvendes af en sofistikeret spionagruppe, der hedder ligningen, flere sporflader, der peger på, at det amerikanske sikkerhedsagentur ligger bag det.

I februar udlod russisk antivirusfirma Kaspersky Lab en omfattende rapport om en gruppe, der har udført cyberspionage-operationer siden mindst 2001 og muligvis lige så langt tilbage som 1996. Rapporten beskriver gruppens angrebsteknikker og malwareværktøjer.

Kaspersky-forskerne har kaldt gruppen Ligning og sagde, at dens evner er uovertruffen. De forbød imidlertid ikke gruppen til NSA eller andre efterretningstjenester, på trods af ligheder mellem dens værktøjer og dem, der er beskrevet i hemmelige NSA-dokumenter, der er lækket af Edward Snowden.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc ]

Kaspersky fandt kode navne som SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER i den malware, der bruges af ligningsgruppen. Selvom disse ikke var en direkte match til NSA-kodenavne, der indtil nu er kendt, har de en slående lighed med nogle af dem.

Et hemmeligt dokument, der er lækket af Snowden og udgivet af det tyske nyhedsmagasin Der Spiegel, indeholder en liste over projektnavne fra NSA's Skræddersyet Access Operations (TAO) division. Listen indeholder navne som SKYJACKBRAD, DRINKMINT og LUTEUSASTRO. Ifølge et andet dokument har NSA et malwareimplantat kaldet STRAITBIZZARE og refererer til computere der er inficeret med det som QUANTUM shooters. Det har også et program kaldet FOXACID.

Kaspersky-forskerne fandt en Equation malware-komponent kaldet "standalonegrok." Ifølge en rapport fra december i The Intercept har NSA en keylogger ved navn GROK.

Men den mest direkte link kom onsdag, da Kaspersky Lab offentliggjorde en teknisk analyse af de vigtigste malware rammer, der anvendes af Equation gruppen. I rapporten afslørede virksomhedens forskere et andet kode navn, der for nylig blev fundet i malware: BACKSNARF_AB25. BACKSNARF-kodenavnet er anført i det tidligere nævnte dokument om NSA TAO-projekter.

Malware-platformen, der blev kaldt EquationDrug, har en modulær arkitektur og ligner et mini-operativsystem, siger Kaspersky-forskerne. Hidtil er 30 af dens plug-ins fundet, men platformen kan have mere end 115 moduler, hver implementerer forskellige funktionaliteter.

Statistik baseret på kompileringstidsstempler fundet i EquationDrug-prøverne, der er indsamlet hidtil, tyder på, at dens udviklere arbejder næsten udelukkende fra mandag til fredag ​​og ligger sandsynligvis i UTC-3 eller UTC-4 tidszoner, hvis vi antager, at de starter arbejde kl 8 eller 9. Tidsstempler i malware-prøver er ikke altid pålidelige, fordi udviklere kan ændre dem, men i tilfældet med EquationDrug mener Kaspersky-forskerne, at de ser "meget realistiske" ud.