--°--∫—Ä--Æ--∑—Å --ª—È—Å—Ã —Ñ —Ç—É--º--∞--Ω—Ã
随着安全研究人员继续分析称为方程式的复杂间谍组织使用的恶意软件,更多线索表明指向美国国家安全局的是它的背后。
2月份,俄罗斯防病毒公司卡巴斯基实验室发布了一份广泛的报告关于一个从2001年开始进行网络间谍活动的团体,甚至可能早在1996年。该报告详细介绍了该团体的攻击技术和恶意软件工具。
卡巴斯基研究人员称其为集团公式,并称其功能是无可匹敌的。然而,尽管他们的工具与爱德华斯诺登泄露的秘密NSA文件中描述的工具相似,但他们并未将该组织与NSA或任何其他情报机构联系起来。
[更多阅读:如何从Windows PC中删除恶意软件]卡巴斯基在等式组所使用的恶意软件中发现代码名称,如SKYHOOKCHOW,DRINKPARSLEY,LUTEUSOBSTOS,STRAITACID,STRAITSHOOTER。虽然这些与目前已知的国家安全局代码名称不直接匹配,但它们与其中一些名称有惊人的相似性。
由斯诺登泄露并由德国新闻杂志“Der Spiegel”出版的秘密文件包含NSA的项目名称列表定制访问操作(TAO)部门。该列表包括SKYJACKBRAD,DRINKMINT和LUTEUSASTRO等名称。根据另一份文件,NSA有一种名为STRAITBIZZARE的恶意软件植入,并将感染它的计算机称为QUANTUM射手。它还有一个名为FOXACID的程序
卡巴斯基研究人员发现了一个名为“standalonegrok”的公式恶意软件组件。根据截获的12月份报告,NSA有一个名为GROK的键盘记录器
但是,最直接的联系星期三,卡巴斯基实验室发布了对方程式组使用的主要恶意软件框架的技术分析。在报告中,该公司的研究人员透露了最近在恶意软件中发现的另一个代码名称:BACKSNARF_AB25。 BACKSNARF代码名称在前面提到的关于NSA TAO项目的文档中列出
卡巴斯基研究人员说,被称为EquationDrug的恶意软件平台具有模块化架构,类似于迷你操作系统。到目前为止,已经找到了30个插件,但该平台可能有超过115个模块,每个模块实现不同的功能。
迄今为止收集的EquationDrug样本中的统计数据基于编译时间戳,这表明其开发人员正在工作几乎完全是从星期一到星期五,如果我们假设他们在上午8点或上午9点开始工作,它们可能位于UTC-3或UTC-4时区。恶意软件样本中的时间戳并不总是可靠的,因为开发人员可以改变它们,但对于EquationDrug,卡巴斯基研究人员认为它们看起来“非常现实”。
