Kaspersky Lab har under de senaste åren övervakat och analyserat närmare 60 grupper ansvariga för cyberattacker världen över. Nu har företaget upptäckt en aktör som överträffar allt man tidigare har påträffat. Gruppen har fått namnet Equation och har varit verksam sedan åtminstone 2001. Vissa spår tyder dock på att gruppen kan ha varit verksam så långt tillbaks som 1996.

De verktyg som Equation använder för att infektera sina offer, stjäla data och dölja spåren efter sig är mycket komplicerade och dyra att utveckla. Det som gör gruppen unik är bland annat ett skadligt program som gör det möjligt att omprogrammera inbyggda program i hårddisken. Detta gör att det skadliga programmet är extremt svårt att bli av med, även genom diskformatering och återinstallation av operativsystemet. Programmet kan även skapa ett gömt område inuti hårddisken för att lagra stulen information som angriparna sedan hämtar.

Equation har även tillgång till en mask som används för att kartlägga nätverk med så kallade luftgap (fysiskt separerade datorer eller servrar utan möjlighet att flytta data emellan) för att kunna utföra kommandon i dessa isolerade system. Masken använder en unik USB-baserad kommando- och kontrollmekanism som gör låter angriparna flytta data fram och tillbaks mellan dessa isolerade nätverk.

Gruppen har sedan 2001 infekterat tusentals, kanske till och med tiotusentals, offer i fler än 30 länder. Offren återfinns i en rad olika sektorer, bland annat statliga organisationer, telekom, rymdfart, energi, kärnkraftsforskning, olja och gas, militär samt nanoteknik.