Nouveaux indices de liens entre le groupe Equation et la NSA

Fin février, Kaspersky Labs mettait en lumière les activités d’un groupe nommé Equation, actif depuis près de vingt ans et qui serait à l’origine de l’infection d’ordinateurs dans une trentaine de pays. Surtout, l’éditeur soulignait voir là « un acteur qui surpasse tout ce qu’il y a de connu en termes de complexité et de sophistication techniques ».

Cette fois-ci, c’est sur EquationDrug que s’est penché l’éditeur : la plateforme logicielle utilisée par le groupe Equation depuis 2003, et jusqu’à ce qu’il ne commence à « pousser la plateforme plus moderne GrayFish vers ses nouvelles victimes ». Kaspersky insiste sur un point : EquationDrug n’est pas qu’un simple logiciel malveillant, c’est une plateforme – modulaire, avec quelque 116 plug-ins, selon l’éditeur.

Et, c’est un élément clé car, pour Costin Raiu, directeur de l’équipe de recherche et d’analyse de Kaspersky, « les attaquants d’Etats-Nations cherchent à créer des outils de cyberespionnage plus stables, invisibles, fiables et universels », avec un niveau de sophistication « qui rend ce type d’acteur différent des cybercriminels traditionnels ». Et ce n’est pas tout : « ce type d'attaquants ont […] accès à un stockage virtuellement illimité ».

Mais là encore, pas question pour Kaspersky de pointer ouvertement la NSA.

Le lien est à trouver dans les détails, avec en particulier le terme BACKSNARF_AB25, trouvé par l’éditeur dans des échantillons de code. Ce terme apparaît dans la liste de projets figurant dans une présentation non datée de la NSA, publiée par l’EFF, et portant sur ses opérations d’infiltration informatique.

Pas de quoi conclure de manière définitive, donc, mais de quoi renforcer le faisceau d’indices. D’autant plus que les marqueurs temporels de compilation des échantillons semblent plaider pour des équipes travaillant sur la côte Est des Etats-Unis, suivant des heures de bureau classiques.