به عقیده کارشناسان کسپرسکی گروه هکری «معادله» با زیرساختهای ارتباطی قوی و ابزارهای جاسوسی گسترده خود به مدت دو دهه و بدون هیچ ردپایی به سرقت اطلاعات در جهان سایبری پرداخته است.
به گزارش پایگاه اطلاع رسانی پایداری ملی، زمانی که بدافزار استاکسنت در سال ۲۰۱۰ کشف شد، متخصصان امنیتی آن را یکی از پیچیدهترین ابزارهای نفوذ کامپیوتری معرفی کردند که تا آن زمان ساخته شده بود. بعدها بدافزارهای Flame و رجین هم بهدلیل شباهتهایی که وجود داشت منتسب به یک مبدا ساخت مشترک شدند؛ جاییکه صدها نفر ساعتها روی چنین ابزارهای هوشمند و فوقالعاده مخربی کار کردهاند.
اکنون متخصصان امنیتی در شرکت کسپرسکی بزرگترین شبکه هکر تاریخ اینترنت را کشف کردهاند که استاکسنت، رجین و Flame هم به آنها مرتبط است. به نوشته کسپرسکی این شبکه دسترسی نامحدودی به منابع مالی و نیروهای انسانی متخصص داشته و دارای انبار بزرگی از ابزارهای مخرب اینترنتی مانند استاکسنت بوده است.
کسپرسکی که معتقد است متخصصان آن پس از دو دهه تحقیق توانستهاند این شبکه را کشف کنند نام این شبکه را « معادله» گذاشته است چون اعضای این شبکه تمایل به رمزگذاری اطلاعات خود دارند. ابزارها و روشهای پیچیده و مختلفی که این شبکه هکری برای دسترسی به اطلاعات در اختیار داشته آنقدر پیشرفته است که هنوز گمان میرود فقط بخش کوچکی از دامنه کاری آن مشخص شده باشد.
شرکت امنیتی روسی کسپرسکی معتقد است که زمان شروع فعالیتهای این گروه مشخص نیست اما قدیمیترین بدافزارهای مشاهده شده به سال ۲۰۰۲ بازمیگردد هرچند اولین دامنههای اینترنتی متعلق به آنها در سال ۲۰۰۱ ثبت شدهاند و این نشان میدهد که این گروه حداقل برای دو دهه فعال بوده است.
این گروه بزرگ احتمالاً از گروههای دیگری تشکیل شده یا با آنها همکاری داشته از جمله گروههایی که مثلاً روی استاکسنت یا Flame کارمیکردند اما بر اساس شواهد موجود، این گروه بسیار زودتر از سایرین به این بدافزارها دسترسی داشته است. گروه معادله در صنایع و بخشهای مختلفی بهصورت متمرکز کار میکرده از جمله دولتها و انستیتوهای دیپلماتیک، مخابرات، فضایی، انرژی، تحقیقات هستهای، نظامی، رسانهها، حمل ونقل، انستیتوهای مالی و شرکتهای توسعهدهنده تکنولوژیهای رمزنگاری.
کسپرسکی میگوید که این گروه تعداد جالب توجهی از ابزارها و بدافزارها را در اختیار داشته که مدام هم بهروز میشدهاند. این بدافزارها به سادگی گذاشتن یک سیدی درون درایور یا واردکردن حافظه فلش به USB یا دیدن یک صفحه وب روی موبایل، روی کامپیوتر یا شبکه قربانی نصب میشدند و در صورت شناسایی هدف معتبر راه را برای بدافزارهای بزرگتر بعدی باز میکردهاند و در مرحله آخر کنترل تمام کامپیوتر و دستگاه را در اختیار می گرفتند.
این بدافزارها میتوانستند خود را با روشهای مختلف درون سیستم مخفی کنند و اطلاعات بهدست آمده را ابتدا رمزگذاری و سپس در صورت اتصال به اینترنت آن را به سرورها و دامنههای اینترنتی تعیینشده ارسال کنند. این بدافزارها همچنین به سیستم «خود تخریبگر» مجهز بوده و در صورت لزوم و یا پس از دوره مشخص خود را بهطور کامل از روی سیستم قربانی حذف میکردند.
متخصصان کسپرسکی با در اختیار گرفتن برخی از دامنههای اینترنتی قدیمی این گروه یا نفوذ به برخی سرورهای آن توانستهاند به روش کار برخی از این ابزارها آگاهی پیدا کنند. کسپرسکی پس از تحلیل حجم انبوهی از اطلاعات سراسر جهان به سمت معدود سرورهای در اختیارگرفته همچنان به احتمال ناشناخته بودن بخش جالب توجهی از ابعاد کاری شبکه «معادله» معتقد است.
بر اساس گزارش کسپرسکی مهمترین و جدیدترین کشف در زمینه شکل نفوذ تکنولوژی فوقالعاده جدید و پیشرفته مورد استفاده این شبکه در آلوده کردن سیستم نرمافزاری هارددیسک است.
کسپرسکی توانسته دو سیستم نرمافزاری آلودهسازی هارددیسک این گروه را تشریح کند که یکی مربوط به سال ۲۰۱۰ و دیگری مربوط به ۲۰۱۳ است. این سیستم نرمافزاری خود را به جای سیستم اصلی جایگزین کرده و داخل هارددیسک پنهان میشود و با فرمتکردن هارددیسک هم از بین نمیرود. سیستم نرمافزاری هارددیسکهای ۱۲ شرکت معروف در این عرصه از جمله شرکتهای مکستور، وسترندیجیتال، سامسونگ، سیگیت، توشیبا و میکرون قابل جایگزینی تشخیص داده شدند. ابزارهای نفوذ حتی قادر به نفوذ از طریق سیدیرام دستگاه نیز بودهاند.
کسپرسکی میگوید که گروه معادله را در جریان مطالعه روی ویروس رجین کشف کرده است. کسپرسکی یک کامپیوتر در یکی از کشورهای خاورمیانه قرار داده و حملهها به آن را شناسایی میکند. به گفته این شرکت امنیتی روسی، اطلاعات بهدست آمده نشان داد که این گروه کامپیوترهایی را هدف قرار داده که قبلا مورد حمله بدافزار رجین هم قرار گفته بودند.
کسپرسکی در گزارش خود به هیچ کشور یا سازمانی پشت سر این گروه هکری اشاره نمیکند. هرچند در تمام گزارش این شرکت به یک سازمان بزرگ و افراد متخصص دارای برنامه وسیع با سرمایهگذاری نامحدود اشاره میشود.
برخی خبرگزاریها از جمله رویتر و روزنامه نیویورکتایمز از آژانس امنیت ملی آمریکا بهعنوان سازماندهنده اصلی نام بردهاند و از طرفی با توجه به نوع آلودگی و تمایل به دریافت اطلاعات میتوان تصور کرد که چه نوع نهادهایی از چه کشورهایی پشت این حملهها قرار دارند.
این گروه صدها دامنه اینترنتی و سرورهای رایانهای در سراسر جهان در اختیار داشته و اطلاعات از طریق کامپیوترهای قربانیان به این سرورها منتقل میشده است. روشهای پیچیده نفوذ از سایتهای اینترنتی گرفته تا فلشهای حافظه و هارددیسکها نام بسیاری از برندهای مختلف (هیتاچی، سامسونگ، وسترن دیجیتال و سیگیت) و سیستمهای عامل (ویندوز، مک) و حتی گوشیهای موبایلی چون آیفون را به میان کشیده و جهان تکنولوژی را در حیرت فرو برده است.