Equation Group
Equation, APT-EQ, APT Equation, The Equation Group, NSA Playset
Активны
Страна: США
Общее описание
Equation Group — это не просто ещё одна APT-группа. Это олимпийский чемпион мира кибершпионажа, действующий на высшем уровне с начала 2000-х.
И да, всё указывает на их связь с NSA — конкретно с элитным подразделением Tailored Access Operations (TAO).
Основная информация
- Первое появление:
- в 2001 году
- Страна происхождения:
- США
- Альтернативные имена:
- Equation, APT-EQ, APT Equation, The Equation Group, NSA Playset
- ОС для атак:
Microsoft Windows, Linux, встраиваемые и специализированные ОС
Технические детали
Используемые инструменты:
- Фирменные импланты для Windows и других ОС (EquationLaser, GrayFish, Fanny, DoubleFantasy).
- Эксплойты нулевого дня (Windows, офисные пакеты, роутеры).
- Специализированные модули для заражения прошивок HDD.
- Кастомные C2-инфраструктуры с сотнями прокси и ретрансляторов.
Известные инструменты:
- EquationLaser
- EquationDrug
- DoubleFantasy
- TripleFantasy
- Fanny
- GrayFish
- Equestre
Связь и аффилиация
Tailored Access Operations (TAO) Агентства национальной безопасности США (NSA).
Цели
- Государственные учреждения
- Военные и оборонные структуры
- Дипломатические миссии
- Энергетика и ядерная отрасль
- Телекоммуникационные компании
- Научные и исследовательские организации
- СМИ и финансовые структуры
Особенности
- Работают минимум с 2001 года — когда другие ещё только учились вставлять фишинговые ссылки в письма.
- Лепят импланты уровня научной фантастики: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, GrayFish — всё это их детище.
- Спокойно используют 0-day уязвимости до того, как об их существовании узнаёт весь мир.
- Их фирменная фишка — перепрошивка жёстких дисков. Создают скрытые разделы прямо в прошивке HDD, которые невозможно увидеть или стереть без специальных знаний.
- Для управления заражёнными машинами используют сотни фальшивых доменов и C&C-серверов, раскиданных по всему миру.
Атакуемые страны
Иран
Россия
Пакистан
Афганистан
Индия
Сирия
Йемен
Кения
Алжир
Великобритания
Китай
Ливан
ОАЭ
Известные атаки
- Sabotage в иранских ядерных центрах (связь со Stuxnet).
- Взлом правительственных учреждений и оборонных предприятий по всему миру.
- Масштабные шпионские кампании против дипломатических миссий, нефтяных компаний, СМИ.
Атакуемые отрасли
- Государственный сектор
- Военные и оборонные предприятия
- Энергетика (в том числе ядерная)
- Телекоммуникации
- Финансы
- СМИ
- Наука и нанотехнологии
Связанные статьи
Отчеты и исследования
- • https://www.kaspersky.com/about/press-releases/equation-group-the-crown-creator-of-cyber-espionage
- • https://en.wikipedia.org/wiki/Equation_Group
- • https://eurepoc.eu/publication/apt-profile-equation-group/
- • https://www.infosecinstitute.com/resources/threat-intelligence/equation-group-apt-tao-nsa-two-hacking-arsenals-similar/