揭秘：火焰病毒和震网病毒的强大幕后黑手“方程式组织”（Equation Group）

1、GrayFish可以自写入进入计算机的引导记录（在系统启动前运行），然后将其数据存储进操作系统的注册表中。 

2、EquationDrug用于攻击老版本的Windows操作系统，比如Windows 95/98/ME

攻击者可通过重新编程硬盘固件（即重写磁盘驱动器的操作系统），让恶意软件达到极高的顽固性，甚至在格式化磁盘和重装系统后仍然能够存活。

如果恶意软件入侵磁盘固件，它将无限次地“复活”。它可能会阻止删除某个特定的磁盘扇区，或在系统重启过程中将其替换为恶意代码。

卡巴斯基专家Costin Raiu对此警告说：

“还有一种危险，即当磁盘被感染后，就无法对其固件进行扫描。简言之，大多数硬盘只能对其硬件固件区域进行写入，却不具备读取功能。这意味着，我们几乎对此一无所知，无法检测磁盘是否被该恶意软件所感染。”

由于病毒在系统启动初始阶段就处于活动状态，它能够截取加密密码，并将其保存在磁盘的隐藏区域。

断网照样窃取信息

不仅如此，“方程式组织”还能够从隔离网络中获取数据，该组织使用的恶意软件Fanny使用了一种独特的基于USB的命令和控制机制，允许攻击者向来隔绝网络之外回传送数据。

具体来说，这是一个包含一个隐藏区域的U盘，它可以从未联网的计算机上收集基础系统信息；而当该U盘被插入到联网计算机上时，恶意软件Fanny会将收集到的系统信息发送至C&C（命令和控制中心）。

感染各大品牌硬盘

卡巴斯基在报告中显示，很多大品牌硬盘可能均受影响，包括三星、西数、希捷、迈拓、东芝以及日立等公司。这些受到感染的硬盘使得攻击者可以持续的对受害者的计算机进行控制和数据窃取。

多项证据指向美国国安局（NSA）

卡巴斯基并未说明“方程式组织”强大能力的背后主谋是谁，但却指出其种种手法，暗示可能与美国国安局NSA的间谍活动有关。