Equation؛ جاسوسی نفوذگران به سبک سازمان‌های امنیتی

گروهی نفوذگر با روش‌هایی مشابه آنچه که در سازمان‌های امنیتی و اطلاعاتی آمریکا مورد استفاده قرار می‌گرفته است، مؤسسات کلیدی در چندین کشور از جمله ایران و روسیه را هدف حملات خود قرار داده‌اند.

در گزارشی که از سوی شرکت ضدویروس Kaspersky منتشر شده، از این گروه نفوذگر با نام Equation یاد شده است که از الگوریتم رمزگذاری و روش‌های مخفی‌سازی مورد استفاده این گروه اقتباس شده است.

ابزارها، بهره‌جوها و بدافزارهای استفاده شده توسط این گروه از بسیاری جهات مشابه روش‌ها و ابزارهایی است که توسط سازمان امنیت ملی آمریکا (NSA) مورد استفاده قرار می‌گرفته و در اسنادی که در سال 2013 به بیرون درز کرد، به آنها اشاره شده است.

بر اساس اطلاعات بدست آمده تا کنون ایران، روسیه، پاکستان، افغانستان، هند و چین کشورهایی بوده‌اند که بیش از سایر کشورها مورد توجه این گروه قرار داشته‌اند. مراکز نظامی، ارتباطاتی، سفارتخانه‌ها، مراکز دولتی، مؤسسات تحقیقاتی و حوزه های دینی اهداف مورد علاقه این گروه بوده است.

از ویژگی‌های خاص و منحصر بفرد این گروه آلوده ساختن ثابت‌افزار (Firmware)، بعنوان واسطی میان سخت‌افزار و نرم‌افزار، با بهره‌گیری از برنامه‌نویسی سطح پایین است.

بدافزار، ثابت‌افزار دیسک سخت را بنحوی تغییر می‌دهد که مشاهده و دسترسی به سکتورهایی خاصی که بدافزار از آنها برای نگهداری داده‌ها استفاده می‌کند، در حالت عادی ممکن نباشد. بدین ترتیب حتی با فرمت کردن و نصب مجدد سیستم عامل هم سکتورهای مخفی شده همچنان باقی می‌مانند.

برنامه ریزی کردن دوباره ثابت‌افزار بسیار پیچیده و تا پیش از این غیرممکن دانسته می‌شد.

درایوهای ساخت شرکتهای Seagate Technology, Western Digital Technologies, Hitachi, Samsung Electronics و Toshiba همگی می‌توانند با این روش دستکاری شوند.

دانشی که این گروه نفوذگر از دیسک‌های سخت داشته بسیار فراتر از منابعی است که توسط این شرکتهای سازنده در اختیار عموم قرار داده می شود.  گروه نفوذگر Equation از مجموعه‌ فرامینی اطلاع داشته که تنها توسط سازندگان دیسک‌های سخت مورد استفاده قرار می‌گرفته است. بدیهی است دست یافتن به این فرامین مستلزم صرف هزینه بسیار گزاف بوده است.

در گزارش منتشر شده از بدافزاری با عنوان Fanny نام برده شده است. این بدافزار در سال 2008 در خاورمیانه و آسیا کشف و شناسایی شد. Fanny، برای انتشار از دو نقطه ضعف ناشناخته سوء استفاده می‌کرد. در سال 2010 مشخص شد که بدافزار Stuxnet نیز از این نقاط ضعف سوء استفاده می‌کرده است.

استفاده گروه Equation از این دو نقطه ضعف تصادفی بنظر نمی‌رسد و می‌توان اینطور نتیجه‌گیری کرد که گردانندگان هر دو حمله یکسان باشند.

این گروه نفوذگر از روشهای متعددی برای انتشار بدافزار و دست یافتن به سیستم‌های با اهمیت استفاده می‌کرده است. برای نمونه گفته شده که در سال 2009 یکی از شرکت‌کنندگان در سمیناری علمی در آمریکا بعداً بسته‌ای حاوی یک CD را از سمت برگزارکننده سمینار دریافت می‌کند که علاوه بر منابع مربوط به سمینار، بدافزاری موسوم Doublefantasy  و ابزارهای مخرب برای سوء استفاده از همین دو نقطه ضعف در آن جاسازی شده بود. آنچه مسلم است برگزارکننده سمینار از دست کاری شدن بسته مطلع نبوده است.

در اواخر سال 2013 هفته‌نامه آلمانی اشپیگل (Der Spiegel) مقاله‌ای را منتشر کرد که در آن به واحد TAO یا Tailored Access Operations در  سازمان امنیت ملی آمریکا اشاره شده بود. بدین ترتیب که ماموران TAO پس از شناسایی و ردیابی سفارشات خرید کامپیوتر توسط شرکتها و افراد تحت نظرشان، در مرحله حمل دستگاه‌های نو و جدید، اقدام به آلوده ساختن و نصب ابزارهای جاسوسی بر روی این کامپیوترها می‌کرده‌اند. بر همین اساس می‌توان دست‌اندازی به بسته حاوی CD که از سوی برگزارکننده سمینار به شرکت‌کننده‌ای که در خارح از خاک آمریکا زندگی می‌کرد را به همین واحد نسبت داد.

در این گزارش، 300 دامنه مرتبط با گروه نفودذگر Equation شناسایی شده است که قدیمی‌ترین آن به سال 1996 باز می‌گردد.