수식 그룹에있는 코드 이름 맬웨어는 NSA에 대한 링크를 나타냅니다.

보안 연구원들이 방정식이라고 불리는 정교한 간첩 단체가 사용하는 악성 코드를 계속 분석함에 따라 미국 국가 안보국 (US National Security Agency)의 뒤를 잇는 단서가 더 많아졌다.

2 월 러시아의 안티 바이러스 회사 인 카스퍼 스키 랩 (Kaspersky Lab) 이 보고서는 그룹의 공격 기술과 악성 코드 도구에 대해 상세히 설명했다.

카스퍼 스키 연구원은 그룹 방정식 (Group Equation)이라는 별명을 붙였으며 그 능력은 다음과 같다. 비교할 수없는. 그러나 에드워드 스노우덴 (Edward Snowden)이 유출 한 비밀 NSA 문서에 설명 된 도구와 도구가 유사 함에도 불구하고 NSA 나 다른 정보 기관에 그룹을 연결하지 않았다.

[추가 정보 : Windows PC에서 악성 코드를 제거하는 방법 ]

Kaspersky는 방정식 그룹에서 사용 된 멀웨어에 SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER와 같은 코드 이름을 발견했습니다. 지금까지 알려진 NSA 코드 이름과 직접적인 일치는 아니지만 일부는 닮았습니다.

스노 든이 누설하고 독일 뉴스 잡지 Der Spiegel이 출간 한 비밀 문서에는 NSA의 프로젝트 이름 목록이 들어 있습니다 맞춤형 액세스 운영 (TAO) 부서. 목록에는 SKYJACKBRAD, DRINKMINT 및 LUTEUSASTRO와 같은 이름이 포함됩니다. 다른 문서에 따르면 NSA에는 STRAITBIZZARE라고 불리는 악성 코드가 있으며 QUANTUM의 저격수로 감염된 컴퓨터를 가리 킵니다. 또한 FOXACID라는 프로그램이 있습니다.

카스퍼 스키 연구원은 "독립형 악성 프로그램"이라는 수식 맬웨어 구성 요소를 발견했습니다. The Intercept의 12 월 보고서에 따르면 NSA에는 GROK라는 키로거가 있습니다.

그러나 가장 직접적인 링크 수요일 카스퍼 스키 랩에서 수식 그룹에 사용 된 주요 맬웨어 프레임 워크에 대한 기술적 분석을 발표했습니다. 보고서에서이 회사의 연구원은 최근 맬웨어에 발견 된 다른 코드 이름 인 BACKSNARF_AB25를 공개했습니다. BACKSNARF 코드 이름은 앞서 언급 한 NSA TAO 프로젝트에 대한 문서에 나와 있습니다.

EquationDrug으로 불리는 맬웨어 플랫폼은 모듈 형 아키텍처를 가지고 있으며 미니 운영 체제와 비슷합니다. 지금까지 30 개의 플러그인이 발견되었지만 플랫폼에는 115 개 이상의 모듈이 있으며 각각 다른 기능을 구현합니다.

지금까지 수집 된 EquationDrug 샘플에있는 컴파일 타임 스탬프를 기반으로 한 통계는 개발자가 작업하고 있음을 나타냅니다 거의 독점적으로 월요일부터 금요일까지이며, UTC-3 또는 UTC-4 시간대에 위치 할 가능성이 큽니다 (8 또는 9시에 작업을 시작한다고 가정 할 경우). 멀웨어 샘플의 타임 스탬프는 개발자가 변경할 수 있기 때문에 항상 신뢰할 수있는 것은 아니지만, EquationDrug의 경우 카스퍼 스키 연구원은 "매우 현실적"이라고 생각합니다.