اسم الرمز الموجود في البرامج المعيارية للمجموعات المعيارية يقترح الارتباط بـ NSA

بينما يواصل باحثو الأمن تحليل البرمجيات الخبيثة المستخدمة من قبل مجموعة تجسس متطورة يطلق عليها المعادلة ، تظهر المزيد من الأدلة التي تشير إلى أن وكالة الأمن القومي الأمريكية تقف وراء ذلك.

في فبراير ، أصدرت شركة مكافحة الفيروسات الروسية كاسبرسكي لاب تقريرًا شاملاً. حول مجموعة نفذت عمليات التجسس السيبراني منذ عام 2001 على الأقل ، وربما حتى عام 1996. تفاصيل التقرير تقنيات الهجوم الجماعي وأدوات البرمجيات الخبيثة.

وقد أطلق الباحثون في كاسبرسكي على مجموعة Equation وقالوا إن قدراتها منقطع النظير. ومع ذلك ، لم يربطوا المجموعة بـ NSA أو أي وكالة استخبارات أخرى ، على الرغم من أوجه التشابه بين أدواتها وتلك التي تم وصفها في وثائق وكالة الأمن القومي السرية التي تسربت من قبل إدوارد سنودن. [المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows ]

تم العثور على أسماء شفرة كاسبرسكي مثل SKYHOOKCHOW و DRINKPARSLEY و LUTEUSOBSTOS و STRAITACID و STRAITSHOOTER في البرامج الضارة التي تستخدمها مجموعة المعادلات. في حين أن هذه لم تكن مطابقة مباشرة لأسماء الكود NSA المعروفة حتى الآن ، فإنها تحمل تشابهًا مذهلاً مع بعضها.

وثيقة سرية سربتها سنودن ونشرتها مجلة الأخبار الألمانية دير شبيجل تحتوي على قائمة بأسماء المشاريع من وكالة الأمن القومي. قسم عمليات الوصول المفصل (TAO). تتضمن القائمة أسماء مثل SKYJACKBRAD و DRINKMINT و LUTEUSASTRO. وفقا لوثيقة مختلفة ، فإن وكالة الأمن القومي لديها زرع البرمجيات الخبيثة يسمى STRAITBIZZARE ويشير إلى أجهزة الكمبيوتر المصابة به كما الرماة QUANTUM. كما أن لديها برنامج يسمى FOXACID.

وجد الباحثون في كاسبرسكي مكون برمجيات معادلة مسماة باسم "standalonegrok". وفقًا لتقرير صدر في كانون الأول / ديسمبر في The Intercept ، لدى NSA مُدوّن رئيسي يدعى GROK.

ومع ذلك ، فإن الرابط الأكثر ارتباطًا جاء يوم الأربعاء ، عندما نشرت كاسبرسكي لاب تحليلاً تقنيًا للإطار الضار الرئيسي المستخدم من قبل مجموعة المعادلة. في التقرير ، كشف باحثو الشركة عن اسم رمزي آخر تم اكتشافه مؤخرًا في البرامج الضارة: BACKSNARF_AB25. يتم سرد اسم رمز BACKSNARF في الوثيقة المذكورة سابقا عن مشاريع NSA TAO.

منصة البرمجيات الخبيثة ، التي سميت EquationDrug ، لديها بنية معيارية وتشبه نظام تشغيل صغير ، وقال الباحثون كاسبيرسكي. حتى الآن تم العثور على 30 من المكونات الإضافية ، ولكن قد تحتوي المنصة على أكثر من 115 وحدة ، كل منها يقوم بتنفيذ وظائف مختلفة.

الإحصائيات التي تعتمد على الطوابع الزمنية المجمعة الموجودة في عينات EquationDrug التي تم جمعها حتى الآن تشير إلى أن مطوريها يعملون على وجه الحصر تقريبًا من يوم الاثنين إلى يوم الجمعة ، ومن المحتمل أن تكون موجودة في مناطق التوقيت UTC-3 أو UTC-4 ، إذا افترضنا أنها تبدأ العمل في الساعة 8 أو 9 صباحًا. طوابع الوقت في عينات البرمجيات الخبيثة ليست موثوقة دائما ، لأن المطورين يمكنهم تغييرها ، ولكن في حالة EquationDrug ، يعتقد الباحثون في كاسبرسكي أنهم يبدون "واقعيين جدا".