モスクワに拠点を置くカスペルスキー研究所の研究者らは、米国国家安全保障局と、少なくとも14年間にわたり気づかれずに活動していたほぼ全能のハッカー集団とのつながりを示すさらなる証拠を発見した。
カスペルスキーの研究者たちは、今回もEquation Groupと名付けたハッキング集団がNSAの仕業だとは明言せず、この作戦はほぼ無限の資源を投入できる国家の支援を受けたに違いないと述べるにとどめた。しかし、彼らは既にNSAとの関連性を強く示唆する膨大な証拠の上に、新たな発見を積み重ねた。NSAとの最も強力な関連性は、Equation Groupのスパイ活動プラットフォーム「EquationDrug」の新たに発見されたサンプルに埋め込まれていた「BACKSNARF_AB25」という文字列だった。日付不明のこのNSA向けプレゼンテーションの19ページによると、「BACKSNARF」はNSAのTailored Access Operations(テイラード・アクセス・オペレーション)に関連するプロジェクトの名称だった。
「BACKSNARF」は、Equation GroupのマルウェアとNSAを結びつける多くのプログラミング「アーティファクト」に加わります。これらには「Grok」、「STRAITACID」、「STRAITSHOOTER」が含まれます。宝石泥棒が犯行現場で指紋が見つからないように細心の注意を払うように、マルウェア開発者は作成するコードからユーザー名、コンピュータID、その他のテキストによる手がかりを消し去ろうとします。「BACKSNARF」アーティファクトの存在は、それがNSAの同名のプロジェクトの一部であったという決定的な証拠にはなりませんが、国家の資金提供を受けた無関係なプロジェクトが2つ存在していた可能性は極めて低いと思われます。
クレジット: カスペルスキー研究所
クレジット: カスペルスキー研究所
このコードワードは、カスペルスキーが水曜日に公開した、Equation Group について発見された新たな技術的詳細を詳述したレポートに含まれている。レポートに含まれるその他の新データの中でも、Equation Group マルウェア内に格納されたタイムスタンプは、メンバーが圧倒的に月曜から金曜に働いており、土曜や日曜にはほとんど働いていないことを示した。タイムスタンプの時間帯は、メンバーが通常の勤務日に働いていることを示しているようで、組織化されたソフトウェア開発チームの一員であることを示している。通常の 8 時から 5 時までの勤務日を想定すると、タイムスタンプから従業員が UTC-3 または UTC-4 タイムゾーンにいた可能性が高く、これは米国東部で働く人々の状況と一致する。カスペルスキーのレポートでは、さまざまな実行ファイルに記載されている年が、ファイルが実行されるコンピュータ プラットフォームの可用性と一致しているように見えることから、タイムスタンプが意図的に操作された可能性は低いとしている。