1

　　标题：卡帕斯基计算机病毒实验室宣布发现了方程组的存在

　　摘要：

　　2015年2月16日，卡帕斯基实验室在实验室安全分析师峰会上宣布，发现了方程组（equationgroup，又名：方程式组织）的存在，该组可能建立于2001年，可能有60多名工作人员。

　　该实验室说，该组使用的方程药、灰鱼两种软件，能够修改目标计算机硬盘的硬件结构。该组可能属于家全局。

　　该组还曾经使用高斯软件，参加了震网病毒攻击。

　　该实验室分析发现，震网病毒的开发人员，很有可能是该组的工作人员。

　　方程组工作人员会截取科学会议的资料邮件，在邮件的光盘中存入特定软件。软件进入电脑后，可以创建并使用隐藏硬盘区域、或虚拟磁盘系统，来完成软件设计者的任务。

　　可能受到过这些可以光盘的人员包括：防务、能源、核能研究人员。

　　该组可以通过IP地址、计算机使用者信息来自动判断是否属于需要攻击的目标。

　　2016年，该组拥有的恶意软件代码被“阴影掮客”黑客小组获取。该代码中具有RC6加密算法。思科防火墙、网镜防火墙可以被该代码攻破。

　　RC6加密算法可以支持2040比特的秘钥，该算法的专利权已经于2017年到期。

　　发现方程组的人员，可能包括克劳迪奥·瓜纳里（ClaudioGuarnieri）

　　克劳迪奥是多伦多大学市民实验室的安全技术研究院，主要研究针对恶意黑客的安全技术。

　　克劳迪奥成功研发了两个恶意软件分析工具：CuckooSandbox、以及Malwr。这两个工具是开源软件，正在被广泛使用。

　　克劳迪奥的网名是NEX

　　https://nex.sx/。

　　nex（at）nex（dot）sx

　　克劳迪奥对《福布斯》杂志说：该组是家全局的工作单位。该组的GROK软件，可以用来记录键盘输入的信息。该组的恶意软件可以攻破西捷、西数、东芝、IBM等品牌的硬盘。

　　灰鱼软件可作用于所有版本的windows软件，可驻留于注册表，以及操作系统的最底层，可执行大部分的操作指令，可获取文件资料并存储于隐藏加密的虚拟文件系统。

　　震网病毒曾被用于破坏核电站离心机的正常运行。

　　该组的Fanny软件可隐藏在感染病毒的优盘或硬盘中，在没有网络连接时，会持续记录计算机信息。当fanny软件发现存在网络连接时，会将记录信息发送给实施攻击的工作人员。该种方法，主要用于攻击物理隔离的计算机。

　　该组的方程药软件（EQUATIONDRUG），在2013年之前开发完成。该软件可自行评估目标是否值得攻击，该软件拥有35个插件及18个驱动程序，能够对目标计算机操作系统实施完全控制。

　　针对上述信息，家全局曾经做出书面情况说明：我们看到了关于上述信息的新闻报道，我们不会公开对此做出评论。我们的行为符合第28号总统政策指令的规定。我们的工作，主要是为了保护国家、人员、打击基地组织及其他恐怖组织、犯罪组织。

　　结尾部分：

　　摘要：#

　　卡帕斯基计算机病毒实验室宣布发现了方程组的存在

　　作者：朱川

　　WXH：Sci-Abs