揭秘史上最强攻击组织“方程式（Equation Group）”

卡巴斯基安全实验室近日发现了一个名为方程式（Equation Group）的史上最强网络犯罪组织。该团伙已活跃近20年，并且在攻击复杂性和攻击技巧方面超越了历史上所有的网络攻击组织。

强大的幕后黑手：方程式组织（Equation Group）

根据卡巴斯基实验室目前所掌握的证据，“方程式组织”（Equation Group）与其他网络犯罪组织有关联，并被认为是著名的震网（Stuxnet）和火焰（Flame）病毒幕后的操纵者。

早在Stuxnet和Flame使用0day漏洞进行攻击之前，“方程式组织”就已经掌握了这些0day漏洞。有些时候，他们还会同其他网络犯罪组织分享漏洞利用程序。

在此次卡巴斯基发现的“方程式组织”恶意软件中，共使用了7种漏洞利用程序，其中至少有4种为0day漏洞！

从2001年到现在，“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯联合大公国、中国（香港）、英国、美国等全球超过30个国家感染了数千个，甚至上万个受害者。

基于“方程式组织”所使用的恶意程序有自我毁灭机制，卡巴斯基推断以上受害者只是冰山一角，实际数目可能更多。

这些受害者包括政府和外交机构、电信行业、航空行业、能源行业、核能研究机构、石油和天然气行业、军工行业、纳米技术行业、伊斯兰激进分子和学者、大众媒体、交通行业、金融机构以及加密技术开发企业等。

超凡技术实力

“方程式组织”发展了极为强大的“军火库”，恶意间谍软件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等。

硬盘病毒

卡巴斯基研究团队发现了“方程式组织”两个可以对数十种常见品牌的硬盘固件进行重新编程的恶意模块。这可能是“方程式组织”所掌握的最强大的武器，同时也是首个已知的能够直接感染硬盘的恶意软件。

1、GrayFish可以自写入进入计算机的引导记录（在操作系统启动前运行），然后将其数据存储进操作系统的注册表中。 2、EquationDrug用于攻击老版本的Windows操作系统，比如Windows 95/98/ME

攻击者可通过重新编程硬盘固件（即重写磁盘驱动器的操作系统），让恶意软件达到极高的顽固性，甚至在格式化磁盘和重装系统后仍然能够存活。

如果恶意软件入侵磁盘固件，它将无限次地“复活”。它可能会阻止删除某个特定的磁盘扇区，或在系统重启过程中将其替换为恶意代码。

卡巴斯基专家Costin Raiu对此警告说：

“还有一种危险，即当磁盘被感染后，就无法对其固件进行扫描。简言之，大多数硬盘只能对其硬件固件区域进行写入，却不具备读取功能。这意味着，我们几乎对此一无所知，无法检测磁盘是否被该恶意软件所感染。”

由于病毒在系统启动初始阶段就处于活动状态，它能够截取加密密码，并将其保存在磁盘的隐藏区域。

断网照样窃取信息

不仅如此，“方程式组织”还能够从隔离网络中获取数据，该组织使用的恶意软件Fanny使用了一种独特的基于USB的命令和控制机制，允许攻击者向来隔绝网络之外回传送数据。

具体来说，这是一个包含一个隐藏区域的U盘，它可以从未联网的计算机上收集基础系统信息；而当该U盘被插入到联网计算机上时，恶意软件Fanny会将收集到的系统信息发送至C&C（命令和控制中心）。

感染各大品牌硬盘

卡巴斯基在报告中显示，很多大品牌硬盘可能均受影响，包括三星、西数、希捷、迈拓、东芝以及日立等公司。这些受到感染的硬盘使得攻击者可以持续的对受害者的计算机进行控制和数据窃取。

多项证据指向美国国安局（NSA）

卡巴斯基并未说明“方程式组织”强大能力的背后主谋是谁，但却指出其种种手法，暗示可能与美国国安局NSA的间谍活动有关。

例如2009年该组织在休士顿拦截邮寄途中的光碟，并植入用于黑客行为的恶意程序，再寄给原收件单位。这手法和NSA半路拦截且感染思科网路设备的 手法很像。第二例是卡巴斯基分析“方程式组织”程序中不小心泄露的关键字，发现键盘监听程序Grok，这出现在去年媒体报导NSA用于感染全球数百万电脑 的攻击工具中。

最后一点证据则是其与震网（Stuxnet）和火焰（Flame）病毒之间的关联性。欧美媒体曾报导，Stuxnet和Flame分别是NSA、中 情局（CIA）在背后操刀发动的攻击行动。近年来Stuxnet已被多次发现锁定伊朗，Stuxnet蠕虫攻击伊朗的时间点最早可追溯到2005年。

目前NSA对此并未向媒体做出任何评论，FreeBuf将带来跟踪报道。

相关阅读：震网病毒

Stuxnet“震网”蠕虫病毒（超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，它能够利用对Windows系统和西门子 SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集（SCADA）系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互 与监控。该病毒主要通过U盘和局域网进行传播，曾造成伊朗核电站推迟发电。2010年9月25日进入中国。