Equation Group aktivno deluje že drugo desetletje in ima najbolj dodelana in napredna orodja za vohunjenje. Njegovi programi so okužili računalniške sisteme v vsaj 42 državah, med katerimi po stopnji okuženosti vodijo ZDA nenaklonjene države, zlasti Iran, Rusija, Pakistan, Afganistan, Indija, Kitajska in Sirija, so pa na seznamu tudi Velika Britanija in ostale prijateljice ZDA, a manjkrat. Okužili so najrazličnejše sisteme, ki segajo od vojaških do znanstvenoraziskovalnih, visokošolskih, zdravstvenih, telekomunikacijskih in seveda državnih.
Uporabljali so številne trike, kako si zagotoviti dostop do sistemov in kako se izogniti odkritju. Programi so se skrivali celo v firmware diskov, zaradi česar jih je bilo praktično nemogoče odstraniti; pomagalo ni niti popolno formatiranje. Prizadeti so diski podjetij Western Digital, Maxtor, Samsung, Toshiba in Seagate, kar so potrdile tudi neodvisne preiskave.
Programi so prilagojeni tudi za delo na računalnikih brez internetne povezave, saj se zmorejo skrivati na USB-ključih in prenašati z njimi. Podatke v svet pošljejo, ko enkrat pridejo na računalnik, ki dostop spet ima. Ker je komunikacija dvosmerna, lahko z manjšo zamudo vohunimo tudi po nepovezanih računalnikih.
Šli pa so še dlje. NSA prestreza strojno opremo za namene vgradnje vohunske opreme. Nekaj podobnega počne tudi Equation Group. Prestrežejo, recimo, CD-je prek običajne pošte in poskrbijo, da prejemnik dobi verzijo z vgrajenim črvom - tak primer so zgoščenke s fotografijami s konferenc in namestitveni CD za Oracle 8 izpred sedmih let. Ali pa obiskovalce prek iPhonov preusmerjajo na okužene strani. Na usmerjevalnike Cisco nameščajo pokvarjen firmware itd.
Na sled so jim prišli pri raziskava vdora v Belgacom, ko so opazovali programe Regin, Turla, Careto/Mask, ItaDuke in Animal Farm, ki so okužili sistem. Odkrili pa so tudi kos zlonamerne programske opreme, ki mednje ni sodil. Naslednja napaka je bila registracija domen, ki so potekle. Približno 20 jih niso obnovili in Kaspersky Lab jih je hitro registriral, da je na njih poslušal promet in sledil programski opremi Equation Groupa. Pomagalo je tudi odkrivanje prvotnih okuženih (pacient nič), saj je 14 let dolga doba. Nekateri okuženih računalniki so služili kot vir za širjenje Stuxneta ali Flama, kar tudi nadaljnje krepi sume, da je Equation Group del NSA. Zadnji kos dokazov pa so komentarji in imena spremenljivk v kodi, ki izdajajo več, kot bi pisec želel.
Odkritje Equation Group je pomembno zato, ker gre za najbolj sofisticirano skupino z najboljšo vohunsko kodo, ki je uspela svoje početje skrivati skoraj 15 let. V primerjavi s tem je Stuxnet nedonošenček.
SloTech
