A legújabb platformok sok bővítményt tartalmaznak, ami lehetővé teszi a számos különböző funkció közül kiválasztani és végrehajtani a megfelelőt, az adott célszemélytől és az általa birtokolt információktól függően. A Kaspersky Lab becslései szerint az EquationDrug 116 különféle bővítményt tartalmaz.
Az EquationDrug az Equation Group által kifejlesztett fő kémkedési platform. Bő egy évtizeden keresztül használták, bár mára nagyrészt átvette a helyét a még nála is kifinomultabb GrayFish. A taktikai trendeket a Kaspersky tárta fel először, miközben a Caretót, a Regint és más kiberkémkedési kampányokat vizsgált.
A Kaspersky Lab termékei számos támadási kísérletet észleltek a felhasználóik ellen, amelyeket az Equation Group malware-eiben alkalmazott kihasználó kódokkal követtek el. Sok ilyen támadás nem járt sikerrel az automatikus kihasználás elleni védelem technológiájának köszönhetően, amely felderíti és blokkolja az ismeretlen sebezhetőségek kihasználására tett kísérleteket. A Fanny nevű féreg, amelyet feltehetőleg 2008 júliusában kompiláltak, az Equation platform része, és először a vállalat automatikus rendszerei derítették fel s helyezték feketelistára 2008 decemberében.
Tényezők, amelyek megkülönböztetik az állam által szponzorált támadók taktikáját a hagyományos kiberbűnözőkétől:
• Mérték. A hagyományos kiberbűnözők tömegesen terjesztik rosszindulatú csatolmányokkal ellátott e-mailjeiket és nagy számban fertőznek meg weboldalakat, ezzel szemben az állam által támogatott szereplők gondosan célzott, mérnöki pontossággal kiválaszott, csupán maroknyi számú felhasználót fertőznek meg.
• Egyedi megközelítés. Míg a hagyományos kiberbűnözők általában újra felhasználják a nyilvánosan elérhető forráskódokat, például a hírhedt Zeus vagy Carberb trójait, az állam által szponzorált támadók egyedi, testre szabott malware-eket hoznak létre, ráadásul olyan korlátozásokkal, amelyek megakadályozzák a kód célszámítógépen kívüli visszafejtését és végrehajtását.
• Fontos információk kinyerése. Általában a kiberbűnözők annyi felhasználót kísérelnek megfertőzni, amennyit csak lehetséges. Azonban az idő és a tárolási kapacitás hiánya miatt nem tudják ellenőrizni az összes megfertőzött gépet, megállapítani mindegyiknek a tulajdonosát, megvizsgálni a rajtuk tárolt adatokat és futtatott szoftvereket – majd kiválogatni közülük az összes, potenciálisan érdekes információt. Emiatt olyan tolvaj malware-eket készítenek, amelyek csak a legértékesebb adatokat, például a jelszavakat és a bankkártyaszámokat szűrik ki az áldozat készülékéről – ez azonban olyan tevékenység, amellyel azonnal felhívják magukra a telepített biztonsági szoftver figyelmét.Az állam által szponzorált támadók ezzel szemben rendelkeznek a megfelelő erőforrásokkal, hogy annyi adatot tárolhassanak, amennyit csak akarnak. Ahhoz, hogy észrevétlenek maradjanak a biztonsági megoldások előtt, elkerülik azt, hogy véletlenszerűen fertőzzenek meg felhasználókat, és egy általánosan használt távoli rendszer-felügyeleti eszközre hagyatkoznak, amely bármilyen és bármennyi információt képes lemásolni, amire csak szükségük lehet. Persze ez a megoldás ellenük is fordulhat, hiszen a hatalmas mennyiségű adat lelassíthatja a hálózati kapcsolatot és gyanút kelthet.
