2月份曝出的網(wǎng)絡(luò)間諜活動(dòng)“方程小組”其惡意軟件的攻擊技術(shù)是目前最為高端的，卡巴斯基在其使用的惡意軟件方程毒藥(EquationDrug)中發(fā)現(xiàn)了諸如“SKYHOOKCHOW、DRINKPARSLEY、LUTEUSOBSTOS、STRAITACID、STRAITSHOOTER”之類的代號(hào)，與美國國安局使用過的代號(hào)極為相似。 

一份由斯諾登泄露出來的秘密文檔包含了國安局“特定訪問行動(dòng)”(TAO)的計(jì)劃代號(hào)名單，該名單中就有SKYJACKBRAD、DRINKMINT、LUTEUSASTRO這樣的代號(hào)。另外一份文檔還提到了國安局的一個(gè)名為STRAITBIZZARE的惡意軟件植入。此外，卡巴斯基在方程惡意軟件中還發(fā)現(xiàn)了一個(gè)名為STANDALONEGROK的組件，而美國國安局使用的一個(gè)鍵盤記錄器就叫“GROK”。

而且，本周針對(duì)方程小組惡意軟件的技術(shù)分析，發(fā)現(xiàn)另一個(gè)一模一樣的代號(hào)：BACKSNARF_AB25。這個(gè)代號(hào)就出現(xiàn)在“特定訪問行動(dòng)”的計(jì)劃名單中。

另外，在方程小組的惡意軟件中發(fā)現(xiàn)的編譯時(shí)間戳顯示，軟件制作者幾乎只在周一到周五工作，如果假定他們從早上8點(diǎn)或9點(diǎn)開始工作的話，則意味著他們處于UTC-3或UTC-4時(shí)間區(qū)。雖然開發(fā)者可以改變時(shí)間戳，但研究人員認(rèn)為這里的時(shí)間戳非常真實(shí)可信。

方程毒藥的其他一些細(xì)節(jié)：

“方程毒藥出現(xiàn)于2003年，而且一直在用，盡管更先進(jìn)的角鯊(GrayFish)攻擊平臺(tái)已經(jīng)被推向新的受害者。”卡巴斯基全球研究與分析團(tuán)隊(duì)(GReAT)說。“需要注意的是，方程毒藥不僅僅是一個(gè)木馬，而是一個(gè)完整的間諜平臺(tái)，包括一個(gè)通過在特定受害者計(jì)算機(jī)上部署相關(guān)模塊來執(zhí)行網(wǎng)絡(luò)間諜活動(dòng)的框架。網(wǎng)絡(luò)間諜平臺(tái)的概念既不新穎也不獨(dú)特。”

作為卡巴斯基實(shí)驗(yàn)室口中描述的執(zhí)行完整間諜活動(dòng)的平臺(tái)，方程毒藥的主要特性是具有幾十個(gè)可執(zhí)行程序、配置文件和受保護(hù)的存儲(chǔ)位置。據(jù)說它還有高達(dá)116個(gè)不同插件，可供“方程組”根據(jù)目標(biāo)和所獲信息任意選用來實(shí)現(xiàn)很多不同種類的功能。

整個(gè)框架結(jié)構(gòu)類似一套迷你操作系統(tǒng)，具有內(nèi)核態(tài)和用戶態(tài)組件，通過自定義的消息傳遞接口進(jìn)行精密交互。平臺(tái)包含了一套驅(qū)動(dòng)程序，一個(gè)平臺(tái)核心(協(xié)調(diào)器)和大量插件。每個(gè)插件都有唯一的ID和版本號(hào)，標(biāo)識(shí)著它所提供的一套功能。有些插件依賴于其它插件，如果依賴關(guān)系沒有解決好就有可能不工作。

方程毒藥平臺(tái)架構(gòu)

這些插件并不是攻擊者的全部能力。每個(gè)插件都有唯一的插件ID號(hào)(一個(gè)字長)，比如：0x8000、0x8002、0x8004、0x8006等。所有插件ID都是偶數(shù)，并且高位都是0x80，目前共發(fā)現(xiàn)30個(gè)插件ID，最大ID號(hào)是0x80CA?？紤]到插件開發(fā)者是遞增分配插件ID的，再假設(shè)其他插件ID被分配給目前沒有發(fā)現(xiàn)的模塊，不難推算出還有86個(gè)插件有待發(fā)現(xiàn)。

卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)的模塊中有些包含了以下功能：網(wǎng)絡(luò)瀏覽偵聽或重路由，系統(tǒng)信息收集和硬盤固件篡改。

“方程毒藥事件呈現(xiàn)出一種有趣的趨勢(shì)，這種趨勢(shì)我們?cè)诜治隹赡苁菄揖W(wǎng)絡(luò)攻擊的工具時(shí)也有發(fā)現(xiàn)——代碼復(fù)雜性的增加。很明顯，國家攻擊者尋求擁有更好穩(wěn)定性、隱蔽性、可靠性和通用性的網(wǎng)絡(luò)間諜工具。你可以只用幾天時(shí)間就做出一個(gè)基本的瀏覽器密碼小偷或者嗅探器。但國家黑客專注于開發(fā)整合此類代碼的框架。這些框架可以定制零散的代碼以適應(yīng)多種實(shí)時(shí)系統(tǒng)，能夠提供可靠的途徑將組件和數(shù)據(jù)以加密的形式存儲(chǔ)起來讓普通用戶無法訪問。”