卡巴斯基安全實驗室近日發現了一個名為方程式（Equation Group）的史上最強網絡犯罪組織。該團伙已活躍近20年，并且在攻擊復雜性和攻擊技巧方面超越了歷史上所有的網絡攻擊組織。

強大的幕后黑手：方程式組織（Equation Group）

根據卡巴斯基實驗室目前所掌握的證據，“方程式組織”（Equation Group）與其他網絡犯罪組織有關聯，并被認為是著名的震網（Stuxnet）和火焰（Flame）病毒幕后的操縱者。

早在Stuxnet和Flame使用0day漏洞進行攻擊之前，“方程式組織”就已經掌握了這些0day漏洞。有些時候，他們還會同其他網絡犯罪組織分享漏洞利用程序。

在此次卡巴斯基發現的“方程式組織”惡意軟件中，共使用了7種漏洞利用程序，其中至少有4種為0day漏洞！

從2001年到現在，“方程式組織”已經在伊朗、俄羅斯、敘利亞、阿富汗、阿拉伯聯合大公國、中國（香港）、英國、美國等全球超過30個國家感染了數千個，甚至上萬個受害者。

基于“方程式組織”所使用的惡意程序有自我毀滅機制，卡巴斯基推斷以上受害者只是冰山一角，實際數目可能更多。

這些受害者包括政府和外交機構、電信行業、航空行業、能源行業、核能研究機構、石油和天然氣行業、軍工行業、納米技術行業、伊斯蘭激進分子和學者、大眾媒體、交通行業、金融機構以及加密技術開發企業等。

超凡技術實力

“方程式組織”發展了極為強大的“軍火庫”，惡意間諜軟件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等。

硬盤病毒

卡巴斯基研究團隊發現了“方程式組織”兩個可以對數十種常見品牌的硬盤固件進行重新編程的惡意模塊。這可能是“方程式組織”所掌握的最強大的武器，同時也是首個已知的能夠直接感染硬盤的惡意軟件。

1、GrayFish可以自寫入進入計算機的引導記錄（在操作系統啟動前運行），然后將其數據存儲進操作系統的注冊表中。 2、EquationDrug用于攻擊老版本的Windows操作系統，比如Windows 95/98/ME

攻擊者可通過重新編程硬盤固件（即重寫磁盤驅動器的操作系統），讓惡意軟件達到極高的頑固性，甚至在格式化磁盤和重裝系統后仍然能夠存活。

如果惡意軟件入侵磁盤固件，它將無限次地“復活”。它可能會阻止刪除某個特定的磁盤扇區，或在系統重啟過程中將其替換為惡意代碼。

卡巴斯基專家Costin Raiu對此警告說：

“還有一種危險，即當磁盤被感染后，就無法對其固件進行掃描。簡言之，大多數硬盤只能對其硬件固件區域進行寫入，卻不具備讀取功能。這意味著，我們幾乎對此一無所知，無法檢測磁盤是否被該惡意軟件所感染。”

由于病毒在系統啟動初始階段就處于活動狀態，它能夠截取加密密碼，并將其保存在磁盤的隱藏區域。

斷網照樣竊取信息

不僅如此，“方程式組織”還能夠從隔離網絡中獲取數據，該組織使用的惡意軟件Fanny使用了一種獨特的基于USB的命令和控制機制，允許攻擊者向來隔絕網絡之外回傳送數據。

具體來說，這是一個包含一個隱藏區域的U盤，它可以從未聯網的計算機上收集基礎系統信息；而當該U盤被插入到聯網計算機上時，惡意軟件Fanny會將收集到的系統信息發送至C&C（命令和控制中心）。

感染各大品牌硬盤

卡巴斯基在報告中顯示，很多大品牌硬盤可能均受影響，包括三星、西數、希捷、邁拓、東芝以及日立等公司。這些受到感染的硬盤使得攻擊者可以持續的對受害者的計算機進行控制和數據竊取。

多項證據指向美國國安局（NSA）

卡巴斯基并未說明“方程式組織”強大能力的背后主謀是誰，但卻指出其種種手法，暗示可能與美國國安局NSA的間諜活動有關。

例如2009年該組織在休士頓攔截郵寄途中的光碟，并植入用于黑客行為的惡意程序，再寄給原收件單位。這手法和NSA半路攔截且感染思科網路設備的 手法很像。第二例是卡巴斯基分析“方程式組織”程序中不小心泄露的關鍵字，發現鍵盤監聽程序Grok，這出現在去年媒體報導NSA用于感染全球數百萬電腦 的攻擊工具中。

最后一點證據則是其與震網（Stuxnet）和火焰（Flame）病毒之間的關聯性。歐美媒體曾報導，Stuxnet和Flame分別是NSA、中 情局（CIA）在背后操刀發動的攻擊行動。近年來Stuxnet已被多次發現鎖定伊朗，Stuxnet蠕蟲攻擊伊朗的時間點最早可追溯到2005年。

目前NSA對此并未向媒體做出任何評論，FreeBuf將帶來跟蹤報道。

相關閱讀：震網病毒

Stuxnet“震網”蠕蟲病毒（超級工廠病毒）是世界上首個專門針對工業控制系統編寫的破壞性病毒，它能夠利用對Windows系統和西門子 SIMATIC WinCC系統的7個漏洞進行攻擊。特別是針對西門子公司的SIMATIC WinCC監控與數據采集（SCADA）系統進行攻擊，由于該系統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互 與監控。該病毒主要通過U盤和局域網進行傳播，曾造成伊朗核電站推遲發電。2010年9月25日進入中國。