Авторство вируса приписывается группе хакеров, которую ведущий исследователь «Лаборатории Касперского» Костин Райю на конференции в Мексике называет «Группой уравнений» (Equation Group), а технические приемы, использованные в его коде, напоминают вирус Stuxnet, который использовался для шпионажа и саботажа иранской ядреной программы и остановил 1000 центрифуг на иранских заводах по обогащению урана.
В «Лаборатории Касперского» сообщили «Газете.Ru», что на создание вредоносного ПО такого уровня требуются годы работы десятков разработчиков и затраты, оцениваемые в миллионы долларов. И исходя из связи группы Equation Group со Stuxnet и Flame, можно предположить причастность АНБ к его созданию.
Equation Group ведет свою деятельность на протяжении многих лет, и ее действия затронули тысячи, а возможно, и десятки тысяч пользователей более чем в 30 странах мира. Наибольшее количество жертв Equation Group было зафиксировано в России и Иране.
Цели хакеров Equation Group — это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ, исламские активисты и ученые.
В отличие от Stuxnet программы Equation Group предназначены не для атаки на объекты, которыми управляют зараженные компьютеры, а для сбора информации.
«Модуль GRAYFISH, наиболее сложный и полнофункциональный из всех модулей Equation Group, предназначен для скрытого хранения информации и выполнения вредоносных команд внутри операционной системы Windows. При этом целью всех модулей Equation Group является кража информации», — сообщили «Газете.Ru» в «Лаборатории Касперского».
Бывшие работники Агентства национальной безопасности также подтвердили Reuters корректность выводов исследователей.
«Лаборатория Касперского» — российская компания, и на это делается акцент в публикациях западных медиа, когда речь заходит о том, какое влияние на доверие к американским технологиям и объем экспорта компьютерной продукции США окажет это раскрытие очередного эпизода масштабной деятельности американских спецслужб.
Впрочем, как замечает один из членов группы по рассмотрению деятельности разведки в области коммуникационных технологий президента Обамы, важно, чтобы страна учитывала возможные последствия для дипломатических и торговых отношений, прежде чем использовать уязвимости программного обеспечения для сбора разведданных.
Следы вредоносного кода «Группы уравнений» были обнаружены в заражениях, датируемых начиная с 2001 года, однако агрессивное наращивание возможностей этого класса вирусных программ приходится на 2008 год, в котором к власти пришел президент Обама.
Интересен тот факт, что раскрытие информации о новых предполагаемых эпизодах деятельности АНБ практически совпало по времени с форумом Белого дома по кибербезопасности и защите потребителей США, прошедшим накануне в Стэнфордском университете.
Сам Обама в интервью порталу Re/code по теме кибероружия заметил, что в этой области нет четкой грани между защитой и нападением.
Однако увеличение активности может быть связано и с чисто технологическим аспектом развития персональных компьютеров и усложнением управляющих программ основных узлов компьютера, которые вступают в действие до основного программного обеспечения, где уже и осуществляется антивирусная защита.
Именно благодаря этому вирус и получил возможность восстанавливать себя после удаления антивирусом, а также перехватывать защитные ключи и получать информацию о сети, в которой находится зараженный компьютер.
Заражение компьютера подобным образом — непростой процесс. Управляющее программное обеспечение и сам принцип работы жесткого диска достаточно сложны и существенно отличаются в зависимости от производителя, модели и технологического поколения устройства.
Важны также и другие условия его работы, например модели других узлов ПК и операционная система. Таким образом, подобный способ заражения требует индивидуального подхода и имеет смысл только для заражения компьютеров особой важности, например ПК в сетях заводов по обогащению урана для отслеживания состояния ядерной программы соответствующей страны.
Как правило, такие компьютеры изолированы от интернета и для их заражения необходимо подключить к ним зараженный USB-диск или CD. По данным The New York Times, в документах, раскрытых Эдвардом Сноуденом, есть указания на способ передачи управляющих команд зараженным устройствам посредством низкочастотных радиоволн, испускаемых приборами размером с чемодан, распространенными АНБ по всему миру, однако этот способ представляется фантастичным.
Для разработки подобного вируса требуется кропотливая работа по модификации управляющей программы жесткого диска, вскрыть которую, по мнению специалистов, невозможно, если производитель жесткого диска не предоставит всю исходную информацию о ней.
Следы заражения обнаружены в жестких дисках практически всех известных производителей — Western Digital, Seagate, Toshiba, IBM, Micron, Samsung. Однако все компании отрицают, что предоставляли свои управляющие программы кому-либо, включая АНБ. При этом бывшие сотрудники агентства считают, что программы могли быть получены, когда проходили ревизию безопасности для целей государственных закупок устройств.
Аналогичные проверки практикуют спецслужбы и других стран, например Китая и России.
В целом данные, собранные «Лабораторией Касперского», выглядят как следы экспериментов и точечного применения технологии. Принцип кибератак «Группы уравнений» может быть повторен другими странами или самодеятельными киберпреступниками против государственных структур и компаний США. А значит, защита управляющих программ устройств компьютера будет усилена, и для ее преодоления потребуется совершить новый виток развития кибероружия.
«В опубликованном исследовательском отчете «Лаборатории Касперского» о программе кибер-шпионажа были упомянуты продукты ведущих производителей жестких дисков, включая Western Digital. Компания Western Digital не имеет информации о данной программе кибер-шпионажа и внимательно изучает отчет «Лаборатории Касперского. Мы очень серьёзно относимся к подобным угрозам, целостность продуктов WD и безопасность данных наших клиентов имеют для нас первостепенное значение», — сообщили «Газете.Ru» в пресс-службе Western Digital.