Специалистите на руската компания за киберсигурност Kaspersky Lab обявиха, че са разкрили най-развитата хакерска група в историята. Според тях тя е свързана с американската Агенция за национална сигурност (NSA) и съществува от поне 14 години, съобщава онлайн изданието Ars Technica.

Kaspersky кръщава хакерите с името Equation Group, като компанията е документирала 500 атаки на групата в 42 държави. Използваният от хакерите зловреден код има функция за самоизтриване след определен период от време, така че много трудно може да бъде открит и проследен. Затова от компанията смятат, че документираните от тях случаи са само малка част от реалната бройка, която прогнозират, че е в хиляди.

Нетрадицонен подход

За да разпространяват вирусите си, хакерите са използвали нетрадиционни методи. Сред тях е и "пресичането" на пощенски пратки с компакт дискове със софтуер и документи. Хакерите са добавяли вирусите в дисковете, които са били използвани от неподозиращите им получатели.

Разработените от Equation Group вируси са били най-различни. Използвани са и методи, които правят зловредните кодове неуловими за антивирусния софтуер. Например скриването на файловете в различни части на регистъра на Windows.

Сред вирусите е имало и разузнавателен софтуер, който да "картографира" изолирани мрежи. Той е разчитал на използването на USB памети, които да бъдат свързани с компютър във въпросната мрежа и след това с компютър с интернет връзка. Така хакерите са могли да разбират вътрешната инфраструктура на компании, научни институции и правителства.

Според Kaspersky Equation Group е най-развитата хакерска група с познания и ресурси, които конкурират създателите на придобилия слава като първо кибероръжие вирус Stuxnet и неговият наследник Flame. Костин Райу, директор на екипа за проучвания и анализи на Kaspersky коментира, че според него именно Equation Group първа получава или създава зловредните софтуер и след това ги предава на други групи, които ги модифицират и прилагат.

"Equation Group определено са ръководителите. Те дават на другите трохи, а от време на време им дават и допълнителни неща, които да вградят в Stuxnet и Flame", коментира Райу. Компанията не казва директно, че групата е свързана с NSA, но го намеква в официалния си доклад.

Equation Group и NSA използват един и същи софтуер за записване на натиснатите бутони по клавиатурата. Той се казва Grok и беше разкрит като използван от NSA миналата година от онлайн изданието The Intercept. Kaspersky пък го откриват сред инструментите на Equation Group. Други зловредни кодове пък имат сходни имена и сходно структуриране на имената. Освен това Equation Group са първите използвали дупки в сигурността, които след това са интегрирани в Stuxnet, посочват от компанията.

Според агенция Reuters, хакерите са имали и възможността да интегрират вируси в твърди дискове на Segate, Toshiba, Western Digital, Hitachi и други водещи производители. Вирусите са внедрявани в системния софтуер на дисковете и така дори след форматирането им, те отново се появяват. Агенцията дори твърди, че бивш служител на NSA е потвърдил истинността на твърденията на Kaspersky.

Грешен ход

Макар и най-добрите хакери, Equation Group не са безгрешни, допълва Райу. Equation Group е допуснала няколко по-сериозни грешки, които са позволили на Kaspersky да разберат как функционира организацията. Компанията е научила за хакерите през март 2014 г. докато разучава вируса Reign. В него е открит модула EquationDrug, който е невиждан досега. Той е използван като единица за сравнение в базата данни със сигнали за проблеми от различните клиенти на компанията.

Открити са различни модификации и вируси със сходна структура, както и домейните, които се използват като контролни канали - общо над 300. Оказало се, че хакерите са пропуснали да подновят регистрациите на 20 домейна. Специалистите на Kaspersky направили това и използвали домейните, за да следят връзките, които се правят към домейните от заразени от Equation Group компютри. По този начин е открито, че все още има компютри, които са заразени с вируса EquationLaser, който всъщност не се използва от хакерите от 2003 г насам.

Изглежда Equation Group са разбрали какво се случва, защото 90% от каналите са били затворени през миналата година. Въпреки това времето е било достатъчно за Kaspersky да разучи групата.

По-късно NSA публикува изявление, в което отказва да коментира "каквито и да е твърдения, които докладът повдига, както и каквито и да е детайли". Като аргумент за решението си NSA посочва директивата на американския президент Барак Обама от миналата година, в която се нарежда по-висок стандарт за сигурността на хората и ограничено събиране на данни, но и да не се коментират практиките на разузнавателните институции, защото това вреди на работата им.