‘De Death Star van het malware universum’, zo omschrijft Kaspersky een van de meest complexe malwareplatformen. De handtekening onder dat platform lijkt verdacht veel op die van de NSA.
Het EquationDrug platform is geen malware. Het is een platform met 35 modules om te spioneren. Het Russische beveiligingsbedrijf Kaspersky Labs ontdekte het vorige maand en komt nu met meer informatie naar buiten.
Zo leren we dat Equationdrug, ook bekend als Equestre, bestaat uit verschillende modules en 116 plugins om data te filteren en slachtoffers te schaduwen. Het opereert daarbij als een klein besturingssysteem met een kernelmodus en gebruikersmodus.
Kaspersky vermeldt nergens dat het om de NSA gaat en spreekt van de Equation Group, maar is van oordeel dat het werd ontwikkeld door een overheid die bijna onbeperkte middelen had voor het project. Tegelijk werd de regel “BACKSNARF_AB25” teruggevonden in het platform, een term die eerder al in een NSA-presentatie voorkwam.
Het platform evolueert ook. Zo wordt je als gebruiker geraakt via het web (bijvoorbeeld via een geïnfecteerde site) waarop de trojan DoupleFantasy wordt geïnstalleerd. Die gaat na of de getroffen persoon een doelwit is. Als dat het geval is dan volgt er een upgrade naar EquationDrug of GrayFish, een gelijkaardig platform waarvan Kaspersky vermoedt dat het nog recenter is dan EquationDrug.
Kaspersky zelf schreef een uitgebreide uiteenzetting over de ontdekking en de verdere verdieping in het spionageplatform. Op termijn belooft het Russische beveiligingsbedrijf ook meer details over de verschillende onderdelen afzonderlijk.
Fout opgemerkt of meer nieuws? Meld het hier