Op internet is een website verschenen die claimt de malware van de Equation Group te veilen, een beruchte groep cyberspionnen die de afgelopen jaren zeer geavanceerde malware ontwikkelde. De Equation Group werd vorig jaar ontdekt, maar zou mogelijk al 20 jaar actief zijn.

De spionnen ontwikkelden verschillende malware-platformen die geavanceerder zijn dan de in 2014 onthulde Regin-malware. Zo werd er onder andere een computerworm ontwikkeld die in 2008 allerlei informatie over doelwitten in Azië en het Midden-Oosten verzamelde. Deze worm, met de naam "Fanny", gebruikte twee zero day-lekken. Kwetsbaarheden die uiteindelijk ook voor de Stuxnetworm werden gebruikt. Volgens het Russische anti-virusbedrijf Kaspersky Lab houdt dit in dat de Equation Group ook Stuxnet ontwikkelde of met de ontwikkelaars van de worm samenwerkte.

Wat de groep echt laat opvallen is de mogelijkheid om de firmware van allerlei merken harde schijven te herprogrammeren. Onderzoekers wisten twee modules veilig te stellen die werden gebruikt voor het herprogrammeren van de firmware. Via deze methode konden de aanvallers het opnieuw installeren en formatteren van de harde schijf overleven. Daarnaast kon er een onzichtbare opslag op de harde schijf worden aangemaakt. Deze module zou echter op zeer beperkte schaal zijn ingezet, vermoedelijk tegen de meest waardevolle doelwitten.

Ondanks het niveau van de malwareschrijvers lieten ze toch sporen achter. Zo werden in de onderzochte modules verschillende sleutelwoorden aangetroffen, zoals DESERTWINTER, STRAITSHOOTER en GROK. Deze laatste term verscheen eerder in NSA-documenten die door Der Spiegel werden gepubliceerd. Kaspersky Lab ontdekte de Equation Group tijdens het onderzoek naar de Regin-malware. Deze malware werd door de virusbestrijder aan de NSA toegeschreven. Daarnaast bestempelt de groep cyberspionnen malware als "implantaten", een term die eerder in de NSA-documenten van Snowden verscheen. Daarnaast is de ontwikkeling van Stuxnet aan de Amerikaanse en Israëlische autoriteiten toegeschreven.

Veiling

Onbekende personen claimen nu via een blog op de website Tumblr verschillende malware-exemplaren van deze geavanceerde groep cyberspionnen te bezitten. Als bewijs zijn er screenshots van directories en bestanden gemaakt en worden er verschillende bestanden aangeboden. Om de gegevens te veilen is er een bitcoinveiling opgezet. Wie de meeste bitcoins naar een bepaald adres stuurt zou de gestolen bestanden krijgen, aldus de uitleg.

De individuen willen naar eigen zeggen dat de Equation Group zelf op de gestolen gegevens gaat bieden. Ze zijn dan ook niet van plan om alle verkregen informatie openbaar te maken. Op de vraag of ze te vertrouwen zijn volgt het volgende antwoord: "Als je van winnen houdt neem je risico. Misschien win je, misschien niet, er zijn geen garanties." De veiling heeft inmiddels de aandacht van verschillende bekende beveiligingsexperts. Die sluiten niet uit dat het om echte gegevens gaat.