Computerbeveiligingsbedrijf Kaspersky heeft een collectie zeer geavanceerde malware ontdekt die gelinkt kan worden aan de NSA.

Dat meldt het bedrijf maandagavond in een uitgebreid rapport over de verzameling malware. 

De groepering die achter de malware zit, wordt door Kaspersky de 'Equation group' genoemd en zou op zijn minst al sinds 2001 actief zijn. Het bedrijf noemt de groepering de meest geavanceerde die het tot op heden op het spoor is gekomen.

De verzameling malware die de Equation group inzet is volgens Kaspersky in staat om computers al vanaf de opstartprocedure volledig over te nemen.

De groepering zou zelfs specifieke malware hebben ontwikkeld om de firmware van harde schijven te herschrijven, geschikt voor meerdere grote merken en schijftypes. 

Dit zou het mogelijk maken voor andere malware om zichzelf steeds opnieuw te installeren, zelfs als de gehele harde schijf wordt gewist. Kaspersky stelt ook dat het hierdoor vrijwel onmogelijk wordt om de malware te detecteren.

Equation group

Equation group
Equation group
Foto: Kaspersky

Professionele werkwijze

Het beveiligingsbedrijf merkt op dat de Equation groep zeer professioneel te werk gaat, onder meer door de malware in fases te activeren.

Zo zou er in bepaalde gevallen eerst malware geïnstalleerd worden om de identiteit van het slachtoffer te achterhalen. Als eenmaal een interessant doelwit was gevonden, werd overgegaan op verdere infectie.

De groepering zou ook op talloze verschillende manieren de malware hebben verspreid, onder meer door fysieke opslagmedia te onderscheppen en deze te vervangen door geïnfecteerde exemplaren. 

Wereldwijde infectie

Kaspersky zegt inmiddels in meer dan dertig landen infecties door de malware te hebben gedetecteerd. Het gaat daarbij minimaal om vijfhonderd slachtoffers, maar het werkelijke aantal zou veel hoger liggen.

Dit vanwege het feit dat in de malware een zelfvernietigingsmechanisme is ingebouwd, waarna detectie niet meer mogelijk is. 

NSA

Hoewel de malware van de Equation group niet direct door Kaspersky gelinkt wordt aan de Amerikaanse veiligheidsdienst, zegt het bedrijf hier wel een aantal belangrijke aanwijzingen voor te hebben. 

Zo wordt in de collectie van malware melding gemaakt van de zogeheten keylogger Grok, die door de NSA ontwikkeld zou zijn. Verder zouden bepaalde programma's sterke gelijkenissen vertonen met andere malware die eerder al met de NSA in verband is gebracht.

De malware van de Equation group is echter complexer en de groepering heeft meer middelen tot zijn beschikking, aldus Kaspersky.

Daarmee zou het de eind 2014 ontdekte Regin-malware ver overtreffen. 

'Spionage-malware Regin is het werk van de NSA'