O nome do código encontrado no malware do grupo de equações sugere link para NSA

Enquanto os pesquisadores de segurança continuam analisando o malware usado por um sofisticado grupo de espionagem apelidado de Equation, mais pistas indicam que a Agência de Segurança Nacional dos EUA está por trás disso. Em fevereiro, a empresa russa de antivírus Kaspersky Lab divulgou um extenso relatório. sobre um grupo que realizou operações de ciberespionagem desde pelo menos 2001 e possivelmente em 1996. O relatório detalhou as técnicas de ataque e as ferramentas de malware do grupo.

Os pesquisadores da Kaspersky apelidaram o grupo Equation e disseram que suas capacidades são incomparável. No entanto, eles não ligaram o grupo à NSA ou a qualquer outra agência de inteligência, apesar das semelhanças entre suas ferramentas e aquelas descritas em documentos secretos da NSA vazados por Edward Snowden. [

] [Leia mais: Como remover malware do seu PC Windows ]

Kaspersky encontrou nomes de código como SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER no malware usado pelo grupo Equation. Embora estes não fossem uma correspondência direta com os nomes de código da NSA conhecidos até agora, eles têm uma notável semelhança com alguns deles

Um documento secreto vazado por Snowden e publicado pela revista alemã Der Spiegel contém uma lista de nomes de projetos da NSA. Divisão de Operações de Acesso sob Medida (TAO). A lista inclui nomes como SKYJACKBRAD, DRINKMINT e LUTEUSASTRO. De acordo com um documento diferente, a NSA tem um implante de malware chamado STRAITBIZZARE e refere-se a computadores infectados com ele como atiradores QUANTUM. Ele também tem um programa chamado FOXACID.

Os pesquisadores da Kaspersky encontraram um componente de malware Equation chamado “standalonegrok.” De acordo com um relatório de dezembro no The Intercept, a NSA tem um keylogger chamado GROK.

No entanto, o link mais direto surgiu na quarta-feira, quando a Kaspersky Lab publicou uma análise técnica da principal estrutura de malware usada pelo grupo Equation. No relatório, os pesquisadores da empresa revelaram outro nome de código encontrado recentemente no malware: BACKSNARF_AB25. O nome do código BACKSNARF está listado no documento mencionado anteriormente sobre projetos NSA TAO.

A plataforma de malware, que foi apelidada de EquationDrug, tem uma arquitetura modular e se assemelha a um mini sistema operacional, disseram os pesquisadores da Kaspersky. Até agora, 30 de seus plug-ins foram encontrados, mas a plataforma pode ter mais de 115 módulos, cada um implementando diferentes funcionalidades.

Estatísticas baseadas em registros de tempo de compilação encontrados nas amostras EquationDrug coletadas até agora sugerem que seus desenvolvedores estão trabalhando quase exclusivamente de segunda a sexta-feira e provavelmente estão localizados nos fusos horários UTC-3 ou UTC-4, se assumirmos que eles começam a trabalhar às 8 ou 9 horas. Os carimbos de hora nas amostras de malware nem sempre são confiáveis, porque os desenvolvedores podem alterá-los, mas, no caso da EquationDrug, os pesquisadores da Kaspersky acreditam que eles parecem "muito realistas".