A Kaspersky Lab szakértői megerősítették, hogy sikerült megtalálniuk azt a fenyegetést, amely összetettebb és kifinomultabb minden eddig ismertnél, és amely közel két évtizedig működött – az Equation csoportot. 2001 óta az Equation csoport több ezer – egyes feltételezések szerint több tízezer – áldozatot fertőzött meg a világ több mint 30 országában. Az áldozatok megfertőzéséhez a csoport a legfejlettebb malware-ek egész sorát használja. A Kaspersky–nek sikerült azonosítania két olyan modult, amely lehetővé teszi a merevlemez firmware-jének átprogramozását több tucat ismert merevlemez-márka esetében. Talán ez lehet az Equation csoport leghatékonyabb eszköze, és az első olyan ismert malware, amely képes a merevlemezek megfertőzésére.
Azáltal, hogy a merevlemez firmware-jét átprogramozta (azaz átírta a merevlemez operációs rendszerét), a csoport két célt is elért egyszerre. Egy olyan, extrém méreteket öltő túlélőképességet, amely segít abban, hogy a malware átvészelje mind a lemezformázást, mind az operációs rendszer újratelepítését. Ha a malware bekerül a firmware-be, képes lesz arra, hogy örökké „feltámassza” magát. Megakadályozhatja egy lemezszektor törlését vagy felcserélheti azt egy rosszindulatú tartalmú szektorral a rendszer újraindulása alatt. Illetve, annak a képességét, hogy létrehozzon egy láthatatlan, tartósan fennálló rejtett területet a merevlemezen belül. Ez szolgál az ellopott adatok tárolására, amelyeket a támadók később letöltenek maguknak. Valamint néhány esetben segít a csoportnak abban, hogy a titkosítást feltörjék.
Mindemellett az Equation csoport a Fanny nevű férget is használta, amelynek elsődleges feladata az volt, hogy feltérképezze az izolált hálózatokat, más szóval megismerje a nem elérhető hálozatok topologiáját, és ezeken az elszigetelt rendszereken hajtson végre parancsokat. Ehhez egy különleges, USB-alapú parancs és vezérlő mechanizmust használt, amely lehetővé teszi a támadóknak, hogy oda-vissza mozgassák az izolált hálózatok adatait.
![[Valid RSS]](https://www.minuszos.hu/wp-content/uploads/logos/valid-rss.png "Validate my RSS feed")
