在俄罗斯著名杀毒软件公司“卡巴斯基”的官网上，有一篇名为《方程式组织：网络间谍行为的皇冠创造者》（英文原名为《Equation Group: The Crown Creator of Cyber-Espionage》）的文章；在工业网络安全脉搏网站（Industrial Cybersecurity Pulse）上，又有一篇名为《回顾：方程式组织，“网络间谍之神”》（英文原名为：《Throwback attack: The Equation Group, "God of cyberespionage"》）的文章；而安全列表网站（Secure List）使用的标题更加耸人听闻：《方程式组织：恶意软件银河中的死星》（英文原名为《Equation: The Death Star of Malware Galaxy》）。不论是“皇冠创造者”，还是“网络间谍之神”、“死星”，都能反映出本文将要介绍的“方程式组织”在网络间谍领域的分量有多重。

“死星”：方程式组织

方程式组织是什么？

方程式组织是一个技术高超的网络间谍软件研发者和网络间谍行为的实施者组织，它从2001年（甚至是更早的1996年）就开始参与多起计算机网络攻击行动。方程式组织能够使用多个恶意软件平台，它可能是全世界上最复杂的网络攻击组织之一。卡巴斯基最早发现了方程式组织的存在，它这样描述该组织的行为：“他们使用非常复杂且开发成本高昂的工具来感染受害者，以非常专业的方式检索数据和隐藏活动，并利用经典的间谍技术向受害者传递恶意负载”。

这个网络间谍活动组织之所以被卡巴斯基称为方程式组织，是因为他们钟爱加密算法和混淆策略，并在整个行动中使用的复杂方法。通常，方程式组织会在其恶意软件中使用RC5加密算法的特定实现。一些最新的模块也使用RC6、RC4和AES，此外还有更强大的加密函数和散列函数。

方程式组织的全球受害者地图

方程式组织的独特之处终极的持久性和隐形性。这是通过对常见品牌的硬盘固件具备重编程的能力实现的，可以说是方程式组织的杀手锏武器，在此之前没有恶意软件能做到这一点。恶意软件隐藏在被感染的硬盘固件中，就像疾病深入骨髓一样，格式化硬盘或者重装系统都无法清除。能够从隔离网络取得数据。在方程式组织的武器库中，有一款名为“趣味蠕虫”（Fanny Worm）的工具，它攻击的目标是在联网计算机和隔离网络计算机之间摆渡数据的U盘，“趣味蠕虫”能够隐身在被感染U盘的隐藏存储空间中，在连接联网计算机时发送数据和接收命令，在连接隔离网络计算机时窃取数据和执行命令。通过经典的间谍方式传递恶意软件。经典的间谍方式就是将正常的组件用定制的组件替换。我们之前讲过的替换了电路板的加密电话CryptoPhone，替换了外设接口的FireWalk，替换了组件的打印机IBM Selectric等等。

方程式组织的家族图谱

据卡巴斯基公司称，有足够的证据能够表明，方程式组织同其他强大的黑客组织之间有紧密的联系，例如Stuxnet和Flame等。方程式组织能够比他们更早地拿到零日漏洞，并在某个时间点与之分享。

结语

网络上关于CIA的“Vault 7”的文章很多，或者是由非计算机专业的记者范范写成，或者是由网络安全专家专业著就。对于我一个计算机专业的“大同行”，这些或者过浅、或者过深的文章读起来都难受，更不用说没有计算机专业背景的人了。希望通过本人对“Vault 7”一系列的科普文章，使得非专业的爱好者们能够对其有更好的了解。