W poniedziałek ujawniono bowiem, że cyberprzestępcy Carbanak okradli ponad 100 instytucji finansowych w 30 krajach na łączną sumę ponad 1 mld dolarów.
Zdaniem ekspertów Equation jest jednak jeszcze niebezpieczniejszy niż Carbanak. To grupa niezwykle sprytnych hakerów, dinozaurów globalnej cyberprzestępczości, którzy w tej nielegalnej branży aktywni są od niemal dwóch dekad. Jak mówią o nich informatycy, pod względem złożoności i zaawansowania zastosowanych technik wyprzedzają wszystko, co zostało dotychczas wykryte. Na swoim koncie mają już dziesiątki tysięcy ofiar w ponad 30 krajach. Od 2001 r. ich celem padły m.in. instytucje rządowe i dyplomatyczne, organizacje z branży telekomunikacyjnej, lotniczej, energetycznej, naftowej i gazowej, transportowej, a także ośrodki badań jądrowych i nanotechnologii, media, liczne instytucje finansowe oraz firmy tworzące technologie szyfrowania. Skali strat nikt nawet nie szacował. Cyberprzestępcy atakowali głównie w Rosji, Azji (przede wszystkim Chiny i Indie), Afryce Płn., a także w USA, Brazylii, Francji czy Wlk. Brytanii. Polski nie było na mapie celów.
Według badaczy z Kaspersky Lab grupa Equation jest unikatowa niemal pod każdym względem swojej aktywności. Wykorzystuje profesjonalne, bardzo zaawansowane oraz kosztowne narzędzia do infekowania ofiar, kradzieży danych i ukrywania aktywności. Dodatkowo atakujący stosują metody szpiegowskie do dostarczania szkodliwych programów do atakowanych organizacji. Atakujący stosują nietypowe metody do infekowania swoich ofiar – nie tylko przez internet, ale także w świecie fizycznym. W tym celu przechwytują rozmaite zasoby i podmieniają je na własne, „wzbogacone" o szkodliwe programy. Przykładem może być atak na uczestników konferencji naukowej w Houston. Po powrocie do domu niektórzy naukowcy otrzymali płyty CD z materiałami konferencyjnymi, zawierające ukryty mechanizm instalujący trojana DoubleFantasy. Sposób, w jaki cyberprzestępcy przechwycili te płyty CD, pozostaje do dzisiaj nieznany.
Eksperci z Kaspersky Lab zdołali przejąć dwa moduły pozwalające na modyfikowanie oprogramowania systemowego (ang. firmware) dysków twardych kilkunastu popularnych producentów. Jest to prawdopodobnie najpotężniejsze narzędzie w arsenale grupy Equation, a zarazem pierwszy znany szkodliwy program zdolny do bezpośredniego infekowania oprogramowania dysków twardych. Poprzez modyfikację oprogramowania dysku twardego atakujący osiągają niespotykaną dotąd zdolność przetrwania. Szkodliwy program może „przeżyć" nawet formatowanie dysku, nie wspominając nawet o ponownej instalacji systemu operacyjnego. Wirus może „wskrzeszać się" w nieskończoność. – Kolejnym zagrożeniem jest to, że gdy dysk twardy zostanie zainfekowany tym szkodliwym programem, jego skanowanie antywirusowe staje się niemożliwe. Oznacza to, że jako badacze jesteśmy praktycznie ślepi i nie możemy wykrywać zainfekowanych dysków – mówi Costin Raiu, dyrektor globalnego zespołu ds. badań i analiz, Kaspersky Lab.
Kolejnym elementem wyróżniającym grupę Equation jest wchodzący w skład jej arsenału robak Fanny. Jego głównym przeznaczeniem jest poznawanie struktury odizolowanych sieci komputerowych i wykonywanie w nich własnych poleceń. W tym celu atakujący wykorzystują unikatowy mechanizm kontroli oparty na nośnikach USB. Zainfekowane nośniki USB posiadają ukryty obszar przechowywania danych i po podłączeniu ich do komputerów odciętych od internetu zaczynają gromadzić informacje o zasobach. Dane te są przekazywane do cyberprzestępców, gdy taki nośnik zostanie podłączony do komputera posiadającego połączenie z internetem.
