Prienikový mechanizmus Fanny od skupiny Equation používal dva typy zero day zraniteľnosti, pričom jedna z nich sa v roku 2009 dostala do Stuxnetu a druhá do Flame. Skupina Equation teda nejakým spôsobom spolupracovala s tvorcami oboch týchto pokročilých softvérov, pričom vždy zastávala pozíciu nadradenosti (poskytovala svoje produkty im, nikdy nie naopak). Naproti tomu Stuxnet v roku 2010 prebral druhú spomenutú zraniteľnosť do svojho systému tak, že si prevzal celý konkrétny jeden modul Flame a začal ho používať. Medzi tvorcami Stuxnetu a Flame teda existovala nejaká diskusia alebo zdieľané dáta. Skupina Equation zastáva pozíciu akejsi nedotknutej elity, ktorá vytvára vlastné a ultra pokročilé systémy (napríklad spomenutý prepis firmvéru diskov), ktoré v niektorých prípadoch v rámci „dobročinnosti“ poskytla iným tímom. Zaujímavé je, že takéto zdieľanie nie je vidieť na špionážnom softvéri Regin. Ten napríklad takisto používa virtuálny súborový systém, ale nedosahuje takej kvality, ako má Equation vo svojej platforme GrayFish. Znamenalo by to, že vývojový tím Reginu nemal to šťastie, že dostáva vysokokvalitné produkty od Equation. Možno teda bude pravdou, že tento projekt je riešený v spolupráci s britskou GCHQ a USA nemalo záujem poskytovať to najlepšie, čo má k dispozícii.
Kto za skupinou Equation stojí?
Antivírusová spoločnosť Kaspersky uverejnila v priebehu marca niekoľko ďalších zistení, s pomocou ktorých sa snažila dať presvedčivejšiu odpoveď na to, odkiaľ skupina Equation pochádza. Poslúžila im na to predovšetkým podrobná analýza špionážnej platformy EquationDrug, z ktorej extrahovali niekoľko kódových mien a identifikátorov. Drvivá väčšina informácií je v programoch Equation skrytá a to buď šifrovacími algoritmami alebo úmyselným sťažením čitateľnosti kódu, avšak niektoré vnútorné reťazce sa predsa len podarilo dešifrovať. Išlo o kódové názvy ako SkyhookChow, DrinkParsley, LuteusObstos, StraitAcid a StraitShooter. Tie sami o sebe síce nič nehovoria, avšak je zaujímavé ich porovnať s kódovými názvami operácií a nástrojov americkej špionážnej služby NSA, ktoré sa dostali na verejnosť vďaka Edwardovi Snowdenovi. V zverejnených dokumentoch totiž nájdeme napríklad SkyjackBrad, DrinkMint, LuteusAstro, StraitBizzare a FoxAcid. Všetky tieto názvy sú čo do formátu veľmi podobné s reťazcami nájdenými v produktoch Equation. V jednom prípade došlo dokonca aj k úplnej zhode. Ide o reťazec BACKSNARF, ktorý plne zodpovedá názvu jednej z dátovo zberných operácií NSA viditeľných v Snowdenových dokumentoch.
Na základe časových známok kompilácií pasuje pre skupinu Equation pracovný čas na východe USA
Okrem týchto reťazcov Kaspersky publikoval aj štatistiku časových známok. Ide o štvorbajtovú hodnotu v hlavičke spúšťacieho súboru, ktorá je automaticky uložená pri kompilovaní softvéru jeho vývojármi. Obsahuje nielen dátum, ale aj čas v podobe hodín, minút a sekúnd. Tento údaj je síce možné sfalšovať, avšak nakoľko je v rámci všetkého softvéru od Equation veľmi konzistentný (napríklad softvér skompilovaný v rôznych rokoch používa postupy a útoky na systémy, ktoré boli v daných rokoch populárne), Kaspersky si nemyslí, že by k tomu došlo. Navyše dôsledné falšovanie tohto údaju je zbytočná starosť, pretože ak by ho chcel niekto úmyselne zatajiť, prepísal by ho radšej poľahky nulami. Kaspersky teda dátumy zo súborov pozbieral a vytvoril z nich zaujímavú štatistiku. Vyplýva z nej, že súbory boli kompilované prakticky vždy v období pondelka až piatku, ale nikdy nie cez víkend ani počas amerických sviatkov. Kompilácie boli robené od 11 do 23 hodiny svetového času, s najväčšou frekvenciou o 12 až 14 hodine a 16 a 17 hodine. S pripočítaním časového posunu to teda vyzerá na pracovný deň organizovaného tímu softvérových vývojárov vo východnej časti USA.
Kaspersky sa vyhol ukazovaniu prstom, ale z uvedených informácií jasne vyplýva, kto je najväčší podozrivý. Ciele softvéru Equation sú vo sfére záujmu USA (najmä Irán, Rusko, Afganistan a Pakistan). Tento náročný softvér je vyvíjaný so štedrým financovaním a zásobovaním informácií na vysokej úrovni. Ide teda o vývoj na úrovni štátu zastrešený nejakou významnou agentúrou. Softvér je vyvíjaný anglicky hovoriacimi vývojármi, ktorí pracujú v rámci klasického pracovného týždňa niekde na východe amerického kontinentu. Reťazce v softvéri sú totožné, alebo veľmi podobné nedávno odhaleným operáciám z dokumentov Snowdena. Je teda pravdepodobné, že skupinu Equation zastrešuje práve americká NSA.
