Equation Group — хакеры, которые взломали все.

[Rudel 395]

Кому лень читать, вкратце в видео сюжете: https://www.youtube....h?v=QY4WOSODRI4

Как «всемогущие» хакеры, связанные с АНБ, скрытно работали в течение 14 лет, а затем наконец были обнаружены.
В 2009 году несколько исследователей получили по почте компакт-диск, содержавший фотографии и другие материалы с недавней научной конференции. Тогда ученые не могли знать о том, что на диске также было вредоносное содержимое, разработанное очень умелой хакерской группировкой, которая ведет свою деятельность как минимум с 2001 года. Судя по всему, содержимое компакт-диска изменилось где-то между пунктами отправления и назначения.
Это был не первый раз, когда злоумышленники, названные Лабораторией Касперского «Equation Group», тайно перехватили пакет во время пересылки, добавили в него опасное содержимое и отправили получателю дальше.
Лаборатория присвоила группировке название Equation Group («Группа уравнения») в связи с тем, что ее участники активно использовали алгоритмы шифрования, передовые методы маскировки и изощренные технологии. В 2002 или 2003 году участники Equation Group сделали подобное с компакт-диском для установки баз данных Oracle, чтобы заразить цель зловредной программой из своей обширной библиотеки.
Исследователи из Лаборатории Касперского зафиксировали 500 случаев заражения программами Equation Group в 42 странах. В топе этого списка — Иран, Россия, Пакистан, Афганистан, Индия, Сирия и Мали. Поскольку программы оснащались механизмами самоуничтожения, исследователи полагают, что это лишь крохотная доля от общей массы зараженных компьютеров, а фактическое количество жертв, скорее всего, исчисляется десятками тысяч.






Длинный список технических находок свидетельствует о высоком мастерстве участников Equation Group, их усердной работе и неограниченных ресурсах. В список входят:

• Использование виртуальных файловых систем — функции, которая также содержится в сложном вредоносном ПО Regin. Недавно опубликованные документы, предоставленные Эдвардом Сноуденом, свидетельствуют, что АНБ США (Агентство национальной безопасности) использовало Regin для заражения частично принадлежащей государству бельгийской компании Belgacom.
  
• Размещение вирусов в разных ветвях реестра зараженного компьютера. Благодаря шифрованию всех вредоносных файлов и размещению их в различных ветвях реестра Windows заражение было невозможно обнаружить с помощью антивирусных программ.
  
• Схемы переадресации, которые направляли пользователей iPhone на уникальные веб-страницы с ловушками. В дополнение к этому зараженные компьютеры, которые передавали отчеты на командные сервера Equation Group, проходили идентификацию как компьютеры Mac, то есть группировка успешно взламывала устройства под управлением iOS и OS X.
  
• Использование более чем 300 доменов и 100 серверов для размещения разветвленной командной и управляющей инфраструктуры.
  
• Разведывательные программы на USB-накопителях для изучения структуры изолированных сетей, которые настолько секретны, что не подключаются к интернету. Червь Stuxnet и связанное с ним вредоносное ПО Flame также обладали возможностью попадания в изолированные сети.
  
• Необычный, если не уникальный, способ обойти ограничения в современных версиях Windows, которые требуют, чтобы любое ПО сторонних производителей, работающее с ядром операционной системы, обладало цифровой подписью признанного поставщика сертификатов. Для обхода этих ограничений хакеры Equation Group использовали уязвимость уже подписанного драйвера программы CloneCD, чтобы добиться выполнения своего кода на уровне ядра.

С учетом всех этих достижений исследователи Лаборатории Касперского пришли к выводу, что Equation Group, возможно, является самой передовой хакерской группировкой мира и обладает техническими навыками и ресурсами, превосходящими возможности команд, которые разработали шпионские программы Stuxnet и Flame.
Костин Райю, руководитель общемирового направления исследований и анализа, говорит:
«Мне кажется, что Equation Group обладают самыми продвинутыми игрушками, которыми время от времени делятся с группировками Stuxnet и Flame, но изначально эти игрушки доступны только участникам Equation Group. Они, несомненно, находятся на верхней ступени, а остальным достаются лишь крошки с их стола».

Не стоит ли за ними АНБ?


В опубликованном в понедельник отчете с Саммита вирусных аналитиков, который проводит Лаборатория Касперского, исследователи не стали утверждать, что Equation Group является детищем АНБ США, но предоставили подробную информацию, недвусмысленно намекающую на причастность американского разведывательного ведомства:

• Способность группировки осуществлять сложные операции, такие как установка скрытой прошивки в маршрутизатор производства Cisco Systems во время его пересылки по почте.
  
• Продвинутая программа для регистрации нажатий клавиш в библиотеке Equation Group в исходном коде именуется «Grok». Это название напоминает об опубликованной в прошлом марте статье издания Intercept под заголовком «Как АНБ планирует заразить миллионы компьютеров вредоносными программами» (How the NSA Plans to Infect ’Millions’ of Computers with Malware). Статья была написана на основании документов, предоставленных Сноуденом, и в ней обсуждался разработанный АНБ регистратор нажатий клавиатуры под названием Grok.
  
• В других фрагментах исходного кода Equation Group упоминаются объекты STRAITACID и STRAITSHOOTER. Эти кодовые слова сильно похожи на термин STRAITBIZARRE, который использовался для обозначения одной из самых передовых вредоносных платформ, применяемой подразделением АНБ по получению доступа к специальным объектам. В дополнение к необычному написанию слова «strait» (вместо straight) предоставленные Сноуденом документы указывают, что объект STRAITBIZARRE может превращаться в одноразовый объект типа «shooter». Кроме того, кодовое наименование FOXACID относится к той же вредоносной платформе АНБ США, что и регистратор нажатий клавиатуры Grok.

Помимо этих общих кодовых слов Equation Group в 2008 году использовали четыре уязвимости нулевого дня, включая две, которые в дальнейшем использовались червем Stuxnet.
Сходства на этом не заканчиваются. Вредоносное ПО Equation Group под названием GrayFish шифровало свой основной рабочий код с использованием хеш-суммы для 1000-кратного повторения уникального идентификатора объекта файловой системы NTFS целевого компьютера. Это не позволяет исследователям получить доступ к окончательному рабочему коду без полного образа диска для каждого отдельного зараженного компьютера. Методика сильно напоминает ту, которая использовалась для маскировки потенциально мощного вредоносного кода в Gauss, еще одном образце передового зловредного ПО, который также обладал сильными сходствами с Stuxnet и Flame. (Согласно данным, червь Stuxnet был совместной разработкой АНБ США и спецслужб Израиля, а Flame разрабатывался при участии АНБ, ЦРУ и израильских военных).
Помимо технического сходства с разработками Stuxnet и Flame участники Equation Group могут похвастаться уровнем технической подготовки, который обычно ожидают от сотрудников разведывательного ведомства, финансируемого богатейшей страной мира. Например, одна из зловредных платформ Equation Group переписывала прошивку жесткого диска зараженных компьютеров — невиданное техническое изобретение, которое достигало своей цели на накопителях 12 различных категорий таких производителей, как Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba и Seagate.
Затем прошивка формировала секретную область, которая выдерживала самую глубокую очистку диска и переформатирование, что позволяло похищать секретные данные даже после переустановки операционной системы. Эта прошивка также создавала программные интерфейсы, к которым мог получать доступ другой код из разветвленной библиотеки Equation Group. После однократного заражения жесткого диска вирус невозможно было обнаружить или удалить.




Некоторые из жестких дисков, к которым Equation Group получили доступ с помощью вредоносного ПО
Хотя конечные пользователи легко могут перепрошить жесткий диск, используя исполняемые файлы, которые предоставляются производителем, для человека со стороны практически невозможно провести обратное конструирование жесткого диска, прочесть имеющуюся прошивку и создать ее зловредную версию.
Райю говорит:
«Невероятно сложная задача, которую смогли решить эти ребята — и проделали это не для одного производителя жестких дисков. Это очень опасно, ведь после заражения жесткого диска такой зловредной программой никто, включая производителей антивирусов, не может сканировать прошивку жесткого диска. Сделать это просто невозможно».



Работа Equation Group


Один из самых интересных аспектов работы Equation Group — вероятное применение ими скрытых «закладок» для заражения целей. Такие перехваты свидетельствуют не только о степени организации в группе и ее технических возможностях, но и демонстрируют, на какие сложные схемы шли преступники, чтобы добраться до людей, представляющих для них интерес. Компакт-диски с некой научной конференции, прошедшей в Хьюстоне в 2009 году — в Лаборатории Касперского отказались ее назвать — использовали autorun.inf в Windows для установки вредоносной программы под названием DoubleFantasy. Лаборатории известно, что организаторы конференции рассылали диск ее участникам. Также известно: по крайней мере один из них получил диск с внедренными в него изменениями, но исследователи компании не располагают подробными сведениями о том, как вредоносный код попал на диск.
Райю говорит:
«Диск легко прослеживается до организаторов конференции, и мы могли бы указать на них, но это привело бы к серьезным дипломатическим последствиям. Мы предполагаем, что организаторы не распространяли вредоносный код среди участников. Скорее, некоторые диски были перехвачены и заменены на копию с „закладкой“».
Еще меньше можно сказать о компакт-диске с дистрибутивом Oracle 8i-8.1.7 для Windows, который был послан шесть или семь лет назад, — кроме того, что на нем была установлена одна из ранних программ Equation Group под названием EquationLaser. Это лишь два примера применения подобных «закладок», обнаруженных Лабораторией Касперского. Учитывая, как мало о них известно, вероятно, к ним прибегали нечасто.
Другой путь — применение червя, созданного в 2008 году. Лаборатория назвала его Fanny в честь текстовой строки в одном из эксплойтов нулевого дня, использованном для размножения червя. Неизвестная на тот момент уязвимость скрывалась в функциях обработки LNK-файлов, которые работают в Windows в частности для отображения ярлыков в момент подключения USB к компьютеру. Внедрив код в LNK-файлы, зараженная USB могла заразить даже компьютер с отключенной функцией автозапуска. Поскольку эта уязвимость никак не зависела от подключения к Сети и позволяла вирусу размножаться, она оказалась очень удобной для заражения отключенных от интернета компьютеров. (Уязвимость в LNK-файлах классифицируется как CVE-2010-2568).
Через два года после первого применения в Fanny уязвимость в LNK-файлах была использована в черве Stuxnet для распространения его в том числе и на компьютеры, управляющие критически важными системами в Иране. В Fanny также использовалась уязвимость повышения привилегий, неизвестная публике на момент появления червя. В 2009 году эксплойт также перекочевал в Stuxnet, но к тому времени Microsoft уже исправила соответствующую уязвимость в обновлении MS09-025.




LNK-эксплойт, использованный в Fanny
Другим направлением, гораздо более обширным, были веб-атаки, эксплуатировавшие уязвимости в Java компании Oracle и в Internet Explorer. Эксплойты размещались на самых разных сайтах, от обзоров техники до обсуждения Джихада. Кроме того, код эксплойта распространялся через рекламные сети. Широкое разнообразие использованных носителей объясняет, почему значительная часть зараженных машин оказалась серверами того или иного вида — контроллерами доменов, хранилищами данных, веб-серверами и т. д. Заражение компьютеров пользователей, похоже, было не единственной целью Equation Group — они стремились добраться до серверов, к которым эти пользователи имели доступ.
Действия группы отличались хирургической точностью — заражалась только выбранная цель. Например, один из их скриптов, обнаруженный Лабораторией Касперского, проверяет, совпадает ли MD5-хэш имени пользователя с одним из двух значений: 84b8026b3f5e6dcfb29e82e0b0b0f386 или e6d290a03b70cfa5d4451da444bdea39. Первому хэшу соответствует слово «unregistered» («незарегистрированный») — указывает на то, что авторы скрипта не хотели заражать незарегистрированных посетителей. Второй хэш — то же слово «незарегистрированный», только на арабском языке.
Были приняты меры, чтобы PHP-скрипт не заражал IP-адреса из Иордании, Турции и Египта. Специалисты Лаборатории Касперского наблюдали, как пользователи, не соответствующие этим условиям, посещали зараженный сайт, но не подвергались атаке, что свидетельствует о наличии дополнительного фильтра.




Пример вредоносного PHP-скрипта, который группа распространяла по взломанным дискуссионным форумам
Совсем недавно специалисты Лаборатории заметили вредоносные ссылки на сайте standardsandpraiserepurpose[.]com, который выглядели так:
standardsandpraiserepurpose[.]com/login?qq=5eaae4d[SNIP]0563&rr=1&h=cc593a6bfd8e1e26c2734173f0ef75be3527a205
Значение ключа h (то есть текст, следующий за «h=»), как представляется, SHA1 хеш. Хеши пока не взломаны, но исследователи компании подозревают, что они используются для нацеливания индивидуальных эксплойтов, предназначенных для конкретных людей. Лаборатория Касперского принимает помощь по взлому от добросовестных хакеров. Вот еще примеры хешей:

• 0044c9bfeaac9a51e77b921e3295dcd91ce3956a
  
• 06cf1af1d018cf4b0b3e6cfffca3fbb8c4cd362e
  
• 3ef06b6fac44a2a3cbf4b8a557495f36c72c4aa6
  
• 5b1efb3dbf50e0460bc3d2ea74ed2bebf768f4f7
  
• 930d7ed2bdce9b513ebecd3a38041b709f5c2990
  
• e9537a36a035b08121539fd5d5dcda9fb6336423

PHP код эксплойта также содержит уникальные веб-страницы и HTML-код для посетителей с iPhone, что, по мнению исследователей, говорит о многом.
В отчете Лаборатории Касперского, опубликованном в понедельник, сказано:
«Это означает, что сервер ожидает посетителей с iPhone и для них также готов есть эксплойт».
В докладе также говорится, что на один из серверов-посредников было много заходов с компьютеров, расположенных в Китае. В служебном заголовке браузера, идентифицирующем систему, указано, что это Mac. Хотя исследователи пока не обнаружили вредоносный код для Mac, принадлежащий Equation Group, они полагают, что он существует.

Шесть имен


Специалисты Лаборатории перечисляют по крайней мере шесть частей комплекса, используемого Equation Group.


EquationLaser. Ранняя версия «закладки», использовалась с 2001 по 2004 год.
DoubleFantasy. Троян, который отбирает достойные цели для атаки. При положительном ответе заинтересовавший компьютер получает EquationDrug или GrayFish.
EquationDrug. Известен также как EQUESTRE; это сложная платформа для проведения атак, она поддерживает 35 различных модулей и 18 драйверов. Это одна из двух платформ Equation Group, которая применяется для перепрошивки жесткого диска. Для хранения вредоносных файлов и украденных данных используется виртуальная файловая система.
EquationDrug устанавливается только после того, как на компьютер проникает DoubleFantasy и подтверждает, что это подходящая мишень. Появилась в 2002 году. Перестала использоваться в 2013 году, сменившись на более совершенную платформу GrayFish.




GrayFish. Это самая сложная система, созданная Equation Group, которая пришла на смену EquationDrug. Она целиком хранится в реестре Windows и выполняется загрузчиком при каждом запуске системы. В то время как EquationDrug умела перепрошивать шесть моделей жестких дисков, эта система «знает» двенадцать. GrayFish использует уязвимость в драйвере ElbyCDIO.sys программы CloneCD, а также, возможно, драйверы других программ для обхода системы подписи кода, которая призвана защищать Windows.




VBR означает Virtual Boot Record (виртуальная загрузочная запись). Это область диска, которая отвечает за загрузку операционной системы. «Таблетка» — внедренный кусок кода (в честь синей и красной таблеток в «Матрице»), который отвечает за перехват загрузки операционной системы. Он меняет механизм загрузки таким образом, чтобы ОС «проглотила таблетку».
Служба BBSVC — еще один механизм, используемый GrayFish, когда метод с «таблеткой» по какой-то причине не срабатывает. Он загружает другие части GrayFish во время старта ОС. Этот механизм уязвимее, чем «таблетка», поскольку на диске жертвы присутствует видимый исполняемый файл. Поэтому BBSVC сделан полиморфным, он полон случайных данных и «мусора», затрудняющими обнаружение. Ядро платформы fvexpy.sys — один из основных компонентов GrayFish. Он предназначен для работы в режиме ядра Windows и предоставляет необходимую функциональность другим компонентам.
GrayFish — это венец творения Equation Group. Платформа настолько сложна, что исследователи до сих пор лишь частично разобрались в ее возможностях и механизмах работы. Важнейшим компонентом GrayFish является руткит, который позволяет ему очень четко контролировать зараженную систему.
В отчете говорится:
«Это позволяет контролировать каждый этап старта Windows. После заражения компьютер больше не работает сам по себе: шаг за шагом необходимые действия происходят под контролем GrayFish, которая вносит необходимые изменения».




Fanny. Компьютерный червь. Он эксплуатирует две уязвимости в Windows, которые были неизвестны в 2008 году; это позволяет ему размножаться каждый раз, когда USB с вирусом вставляется в нужный компьютер. Основная цель Fanny — сбор данных из сетей, не подключенных к интернету. После заражения компьютера Fanny собирает сведения о сети и сохраняет их в скрытой области USB-носителя. Если позже подключить USB к компьютеру с доступом к Сети, червь отошлет данные на координирующие атаку сервера и получит оттуда новые команды. Если позже USB снова будет подключена к сети, изолированной от интернета, последует выполнение полученных команд. И каждый раз при подключении носителя к компьютерам с доступом в интернет и к изолированной сети процесс будет продолжаться.




TripleFantasy. Полнофункциональный бэкдор, то есть программа для получения доступа к зараженной системе; иногда используется совместно с GrayFish.



Какие ошибки были допущены


По словам Райю, как бы ни была хороша команда хакеров, ошибки неизбежны. Equation Group допустили несколько промахов, позволивших исследователям Лаборатории Касперского догадаться о ключевых деталях процесса, который оставался незамеченным по меньшей мере 14 лет.
Лаборатория Касперского впервые вышла на Equation Group в марте 2014 года, когда был обнаружен червь Regin, атаковавший Belgacom и ряд других целей. В процессе изучения вируса специалисты компании обследовали компьютер, расположенный на Ближнем Востоке, который окрестили «Магнитом для угроз». На то была причина: в дополнение к Regin, он был заражен четырьмя другими продвинутыми вредоносными программами — Turla, Careto/Mask, ItaDuke и Animal Farm. Небывалая коллекция вредоносного ПО на одном компьютере возбудила интерес исследователей. Как оказалось, это был один из модулей EquationDrug — основной шпионской платформы хакеров.
Сделав это открытие, исследователи Лаборатории прочесали облачную сеть Kaspersky Security Network, в которой хранятся отчеты об уязвимостях и вирусах, в поисках похожих вредоносных программ. За несколько месяцев им удалось обнаружить еще несколько вирусов, используемых Equation Group, а также доменные имена, на которых размещались каналы управления.
Пожалуй, дороже всего хакерам обошлось то, что они не продлили аренду некоторых из доменов, используемых серверами. Из примерно 300 доменных имен около 20 оказались «бесхозными». Лаборатория Касперского быстро перерегистрировала эти домены на себя, и в течение последних десяти месяцев использовала их для перехвата управляющих команд. Это позволило исследователям контролировать входящие соединения из машин, которые захватили Equation Group.
Один из непродленных доменов оказался очень важен — он поддерживал канал, который управлял компьютерами, зараженными EquationLaser, устаревшей шпионской платформой — хакеры отказались от нее примерно в 2003 году, когда антивирусные программы научились ее обнаруживать. Домен оставался активным в течение многих лет, пока в один прекрасный день не истек срок аренды; его сразу же приобрела Лаборатория Касперского. Оказалось, что компьютеры, инфицированные EquationLaser, до сих пор посылают на него информацию.
Райю отметил:

«Это удивительно — обнаруживать, что по всему миру остаются компьютеры, зараженные вредоносной программой 12-летней давности».

Даже сейчас он видит около десятка инфицированных машин в нескольких странах, включая Россию, Иран, Китай и Индию.
По словам Райю, как минимум 90% серверов управления и контроля были закрыты в прошлом году, хотя некоторые из них оставались активны вплоть до прошлого месяца.
Перехват данных позволил исследователям Лаборатории Касперского собрать основные улики, в том числе информацию о количестве зараженных компьютеров, подчиняющихся захваченным командным доменам, странах, в которых эти зараженные компьютеры могут быть расположены, а также типах их операционных систем.
Лаборатории обнаружили еще кое-что: некоторые машины, инфицированные Equation Group, являются «нулевыми пациентами», которые были использованы для распространения червя Stuxnet, чтобы в конечном итоге заразить компьютеры в Нетензе — горно-обогатительном комбинате, важнейшем элементе иранской ядерной программы.
Исследователи Касперского пишут в докладе:
«Вполне возможно, что вредоносное ПО Equation Group было использовано для доставки Stuxnet».
Другими ключевыми ошибками оказались имена переменных и учетных записей разработчиков и тому подобные артефакты, оставленные в различных частях кода Equation Group. Подобно опытным взломщикам, которые надевают перчатки, чтобы скрыть свои отпечатки пальцев, злоумышленники проявляют большую осторожность, чтобы вычистить такие артефакты из кода. Но по меньшей мере в 13 случаях им это не удалось.
Возможно, наиболее ярким артефактом является строка «-standalonegrok_2.1.1.1», найденная в продвинутом кейлогере, который приписывается Equation Group.
Другой потенциально опасный для хакеров артефакт, найденный Касперским, — путь к каталогу Windows «C:Users mgree5», который принадлежит одному из разработчиков Equation Group. Если имя учетной записи rmgree5 не является случайно сгенерированным, то с его помощью можно выйти на реальную личность разработчика, если оно было использовано для других учетных записей или связано с реальным именем разработчика, например, Richard Gree или Robert Greenberg.
Исследователи Касперского до сих пор не знают, что делать с 11 оставшимися артефактами, но надеются, что их коллеги смогут связать строки кода с известными персоналиями или инцидентами. Вот остальные артефакты:

• SKYHOOKCHOW
  
• prkMtx — Уникальный мьютекс, используемый библиотекой (gPrivLibh)
  
• SF — как в «SFInstall», «SFConfig»
  
• UR, URInstall — «Performing UR-specific post-install...»
  
• implant — от «Timeout waiting for the „canInstallNow“ event from the implant-specific EXE!»
  
• STEALTHFIGHTER (VTT/82055898/STEALTHFIGHTER/2008-10-16/14:59:06.229-04:00
  
• DRINKPARSLEY — (Manual/DRINKPARSLEY/2008-09-30/10:06:46.468-04:00)
  
• STRAITACID — (VTT/82053737/STRAITACID/2008-09-03/10:44:56.361-04:00)
  
• LUTEUSOBSTOS — (VTT/82051410/LUTEUSOBSTOS/2008-07-30/17:27:23.715-04:00)
  
• STRAITSHOOTER — STRAITSHOOTER30.exe
  
• DESERTWINTER — c:desert~2desert~3objfre_w2K_x86i386DesertWinterDriver.pdb

Взлом без бюджета

Деньги и время, необходимые для разработки вредоносного ПО уровня Equation Group, технологические прорывы, которые понадобились для построения хакерской сети и то, какие ограничения были наложены на цели, не оставляют сомнений: операция была организована на государственном уровне с огромными ресурсами. Выбор стран, на которые велась атака, связь с Stuxnet и Flame и артефакт «Grok», найденный внутри кейлогера Equation Group, служат вескими доказательствами теории, что за хакерами стоит АНБ или иное агентство США, но пока Лаборатория Касперского отказывается назвать виновника.
С другой стороны, репортер агентства Reuters Джозеф Менн сказал, что возможность перепрограммирования жесткого диска была подтверждена двумя бывшими государственными служащими. Он написал:
«Бывший сотрудник АНБ сообщил Reuters, что анализ Лаборатории Касперского был верен, и сотрудники спецслужб очень высоко ценят это шпионское ПО, так же как и Stuxnet. Другой бывший разведчик подтвердил, что АНБ разработала способ сокрытия шпионских программ на жестких дисках, но добавил, что не знает, какие задачи возлагались на эту разработку».
Спустя несколько часов после выхода новости сотрудники АНБ написали письмо:
«Мы знаем о недавно опубликованном докладе. Мы не собираемся публично комментировать любые утверждения этого доклада или обсуждать подробности. 17 января 2014 года президент США произнес подробную речь, в которой говорилось о нашей основной разведывательной деятельности. Он также выпустил Президентскую Директиву № 28 (PPD-28). Как мы уже неоднократно подтверждали публично, мы по-прежнему соблюдаем обязательства, о которых говорилось в речи президента и PPD-28. Правительство США призывает наши спецслужбы защищать Штаты, наших граждан и союзников от широкого спектра серьезных угроз — в том числе террористических заговоров Аль-Каиды, ИГИЛ и т.п., распространения оружия массового уничтожения, иностранной агрессии против нас и наших союзников и международных преступных организаций».
Одно можно сказать с уверенностью: выход на Equation Group является важным открытием в области компьютерной и национальной безопасности — наверное, даже более важным, чем разоблачение Stuxnet. Райю утверждает:
«Раскрытие Equation Group так важно, потому что этим всемогущим кибершпионам удавалось оставаться под радаром в течение почти 15 лет, если не больше. Их невероятные навыки и высокотехнологичные возможности, такие как заражение прошивки жестких дисков десятка различных марок, являются уникальными для всех известных нам хакеров и не повторяют чей-то опыт. Мы узнаем все больше и больше о самых продвинутых угрозах. Это заставляет задуматься о том, как много остается скрытым или неизвестным».

insider.pro