کمیته رکن چهارم – با انتشار خبر کشف بدافزار “معادله” ، کار تحلیل دقیق ماژولهای این بدافزار توسط کارشناسان پادویش آغاز شد. با بررسیهای اولیهی صورت گرفته مشخص شد طراحی و پیادهسازی این بدافزار نیز، همچون موارد پیشرفتهی قبلی، ماژولار است. به طور کلی کدهای مربوط به بدافزار در قالبهای متفاوتی از جمله فایلهای اجرایی، درایور و پلاگین در سیستم اجرا میشود و تا کنون حدود پنج ماژول مختلف با نسخههای متفاوت کشف شدهاند.
به گزارش کمیته رکن چهارم،بررسی فایلهای مرتبط با این بدافزار نشان میدهد که تاریخ پیادهسازی آنها به اوایل سال ۲۰۰۸ میلادی بازمیگردد. هرچند تاریخ موجود در فایلهای بسیاری از بدافزارها قابل اعتماد نیست، اما استفادهی بدافزار از اکسپلویت معروفی که آسیبپذیری آن در نسخههای بعد از ویندوز xp برطرف شد به ما اطمینان میدهد که طراحی و پیادهسازی ماژولهای بدافزار به زمانی قبل از به بازار آمدن نسخههای بعد از ویندوز xp بازمیگردد.
در قدم اول، دو ماژول EquationDrug و GrayFish به عنوان راه اندازهای اصلی ماژولهای مراحل بعدی تشخیص داده شده و هدف تحلیل قرار گرفتند. این دو ماژول نه تنها از لحاظ عملکردی مشابهاند بلکه ساختار کد آنها نیز بسیار به یکدیگر نزدیک است. علاوه براین استفاده از درایور و موتکسی با نام یکسان توسط این دو ماژول ارتباط نزدیک طراحان آن را تایید میکند. نکتهی جالب توجه این است که اکسپلویت ذکر شده نیز توسط هر دو ماژول با اندکی تفاوت به طور مشترک مورد استفاده قرارگرفتهاست! شاید ذکر این نکته جالبتر باشد که همین اکسپلویت در سالهای بعد توسط بدافزار stuxnet نیز مورد استفاده قرارگرفت. به همین دلیل است که وجود ارتباط میان طراحان این دو بدافزار، stuxnet و Equation، دور از انتظار نیست. علاوهبر استفادهی مشترک از این اکسپلویت، آن هم در زمانی قبل از انتشار این آسیبپذیری در سیستم عامل ویندوز، پیلودهای اجرا شده نیز اهدافی بسیار مشابه دارند.
اگرچه در روزهای اخیر انتشار خبر کشف این بدافزار کارشناسان زیادی را ترغیب به تحلیل این بدافزار کردهاست، اما هنوز هیچ تحلیل دقیقی از این بدافزار منتشر نشدهاست. در ادامه بخشهایی از تحلیل دقیق این دو ماژول توسط کارشناسان ما ارایه میشود.
منبع:رسانه خبری امنیت اطلاعات
