Los investigadores de seguridad continúan analizando el malware utilizado por un sofisticado grupo de espionaje llamado la Equation, más pistas apuntan a que la Agencia de Seguridad Nacional de Estados Unidos está detrás.

En febrero, la firma de antivirus rusa Kaspersky Lab publicó un extenso informe acerca de un grupo que ha llevado a cabo operaciones de ciberespionaje desde 2001 y posiblemente incluso ya en 1996. El informe detalla técnicas de ataque y herramientas de malware.

Los investigadores de Kaspersky han bautizado al grupo como Equation y afirma que sus capacidades no tienen rival. Sin embargo no se les vincula con la NSA o cualquier otra agencia de inteligencia a pesar de las similitudes entre sus herramientas, las cuales se describen en documentos secretos de la NSA filtrados por Edward Snowden.

Kaspersky encontró nombres en clave como SKYHOOKCHOW, DRINKPARSLEY, LUTEUSOBSTOS, STRAITACID, STRAITSHOOTER en el malware utilizado por el grupo Equation. Si bien estos no coinciden directamente con nombres en clave de la NSA conocidos hasta el momento, tienen un parecido sorprendente con algunos de ellos.

Un documento secreto filtrado por Snowden y publicado por la revista alemana Der Spiegel contiene una lista de nombres de proyectos de TAO (operaciones de acceso a la medida), división de la NSA. La lista incluye nombres como SKYJACKBRAD, DRINKMINT y LUTEUSASTRO. De acuerdo con otro documento, la NSA ha implantado un malware llamado STRAITBIZZARE y se refiere a computadoras infectadas como tiradores QUANTUM. También tiene un programa llamado FOXACID.

Los investigadores encontraron en el malware de Equation un componente llamado "standalonegrok". Según un informe de The Intercept de diciembre, la NSA tiene un keylogger llamado GROK.

Sin embargo, el vínculo más directo vino este miércoles, cuando Kaspersky Lab publicó un análisis técnico del principal framework del malware utilizado por el grupo. En el informe los investigadores revelaron otro nombre recientemente encontrado en el malware: BACKSNARF_AB25. El nombre en clave BACKSNARF aparece en el documento acerca de los proyectos TAO de la NSA.

La plataforma de software malicioso, que fue apodado EquationDrug, tiene una arquitectura modular y se asemeja a un pequeño sistema operativo, afirman investigadores de Kaspersky. Hasta el momento 30 de sus plugins han sido encontrados, pero la plataforma podría tener más de 115 módulos, cada uno implementando una funcionalidad diferente.

Las estadísticas basadas en las marcas de tiempo de compilación, que se encuentran en las muestras recogidas de EquationDrug, sugieren que sus desarrolladores están trabajando casi exclusivamente de lunes a viernes y se encuentran en las zonas horarias UTC-3 o UTC-4, si asumimos que trabajan entre 8 o 9 horas por día.

Las marcas de tiempo en las muestras de malware no siempre son fiables, ya que los desarrolladores pueden alterarlas, pero en el caso de EquationDrug, los investigadores de Kaspersky consideran que se ven "muy realistas".