# Equation Group > [!warning] Equation Group - NSA/TAO - O Grupo APT mais Sofisticado Já Documentado > O **Equation Group** (MITRE G0020) é um grupo de espionagem cibernética atribuído à unidade **Tailored Access Operations (TAO)** da Agência de Segurança Nacional dos EUA (NSA). Identificado pela Kaspersky em fevereiro de 2015 e descrito como "o grupo de ameaça mais avançado que já vimos", o grupo é notório pelo firmware HDD indetectável, pelo arsenal de zero-days que precedeu o Stuxnet e pelo vazamento catastrófico de suas ferramentas pelo grupo **Shadow Brokers** em 2016-2017 - que resultou diretamente nos ransomwares **WannaCry** e **NotPetya**. ## Visão Geral O **Equation Group** permaneceu operacional em silêncio por mais de **15 anos** (desde pelo menos 2001) antes de ser exposto pela Kaspersky Lab em fevereiro de 2015 durante o Security Analyst Summit no México. A Kaspersky descreveu o grupo como "the apex predator of the APT ecosystem" - um ator que supera em complexidade e sofisticação qualquer outro grupo documentado, com acesso a capacidades técnicas que sugerem envolvimento governamental com recursos ilimitados. **Atribuição ao NSA/TAO:** A atribuição ao NSA nunca foi formalmente confirmada pelos EUA, mas múltiplas evidências convergem: - **NSA codewords** `STRAITACID` e `STRAITSHOOTER` encontrados internamente no malware - **NSA ANT Catalog** (vazado por Der Spiegel em 2013): programa `IRATEMONK` (firmware HDD) é idêntico à capacidade documentada do Equation Group - **Horário de trabalho**: análise de timestamps mostra atividade predominantemente de segunda a sexta, horário comercial US East Coast (UTC-5) - **Shadow Brokers leak** (2016): ferramentas NSA/TAO públicadas correspondem diretamente ao arsenal do Equation Group - **Ex-funcionário da NSA** (declaração anônima à Reuters, 2015): confirmou que o malware foi desenvolvido pela NSA **Impacto histórico do vazamento Shadow Brokers:** Em agosto de 2016, o grupo Shadow Brokers anunciou que havia roubado o arsenal do Equation Group. Em abril de 2017, públicaram EternalBlue, EternalRomance e DoublePulsar. Meses depois, dois dos maiores ataques cibernéticos da história usaram essas ferramentas: - **WannaCry** (maio 2017): 300.000+ vítimas em 150 países, US$ 4-8 bilhões em danos - **NotPetya** (junho 2017): US$ 10 bilhões em danos, atribuído à Rússia/Sandworm **Relevância para o Brasil:** O Equation Group não tem alvos brasileiros confirmados, mas Brasil e Chile aparecem em listas de países-alvo historicamente documentados na pesquisa da ETDA. O impacto indireto do vazamento Shadow Brokers foi global - sistemas brasileiros sem patch MS17-010 foram afetados pelo WannaCry. A relevância atual do Equation Group é principalmente histórica e acadêmica: seu arsenal vazado continua sendo reutilizado por grupos de todo o espectro (China, Rússia, Irã, criminosos). ## Capacidades Técnicas Únicas ### Firmware de HDD - A Mais Avançada Técnica de Persistência A capacidade mais extraordinária do Equation Group - e sem precedentes no momento da descoberta - foi a habilidade de **reprogramar o firmware de mais de uma dúzia de modelos de HDD** das principais fabricantes (Western Digital, Seagaté, Toshiba, IBM, Samsung, entre outras). Isso permitia: - **Persistência absoluta**: sobrevive a formatação de disco, reinstalação de OS, reparticionamento - **Disco virtual oculto**: área do disco invisível ao OS armazenava implantes e dados - **Acesso ao firmware**: requer acesso ao código-fonte do fabricante - sugere comprometimento de fabricantes ou capacidade de engenharia reversa excepcional ### Fanny - Mapeamento de Redes Air-Gap O worm **Fanny** foi projetado específicamente para redes air-gapped (isoladas fisicamente da internet): - USB infectado com área de armazenamento oculta coleta informações do sistema air-gapped - Quando o mesmo USB é conectado a sistema com internet, transmite dados coletados para C2 - Permite envio de comandos para sistemas air-gapped via área oculta do USB - Utilizou **dois zero-days** em 2008 que só foram integrados ao Stuxnet em 2009-2010 ```mermaid graph TB A["Interdição Física<br/>CD-ROM modificado entregue<br/>em conferência científica"] --> B["DoubleFantasy Implant<br/>Dropper inicial<br/>Reconhecimento do ambiente"] B --> C["EquationDrug / GrayFish<br/>Plataforma principal de espionagem<br/>Persistência em firmware HDD"] C --> D["Coleta de Inteligência<br/>UNITEDRAKE / GROK keylogger<br/>Exfiltração por canal cifrado"] D --> E["Fanny Worm (air-gap)<br/>USB com área oculta<br/>Mapeia redes isoladas"] E --> F["Exfiltração Gradual<br/>Dados cifrados e comprimidos<br/>Roteamento via proxies em 17 países"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2471a3,color:#fff style F fill:#196f3d,color:#fff ``` ## Linha do Tempo ```mermaid timeline title Equation Group - Cronologia 2001 : Primeiras atividades estimadas : Desenvolvimento de arsenal avançado 2007-2010 : Stuxnet - sabotagem centrífugas Natanz Irã : Flame/Flamer - espionagem Oriente Médio 2008 : Worm Fanny utiliza 2 zero-days : Mesmos zero-days entram no Stuxnet em 2009 2013 : Edward Snowden vaza documentos NSA/TAO : NSA ANT Catalog exposto pelo Der Spiegel 2015-02 : Kaspersky expõe o Equation Group : Security Analyst Summit - México : Descrito como mais sofisticado grupo APT já visto 2016-08 : Shadow Brokers anuncia roubo do arsenal NSA : Tentativa de leilão das ferramentas 2017-04 : Shadow Brokers publica EternalBlue e DoublePulsar 2017-05 : WannaCry - 300.000 vítimas, 150 países 2017-06 : NotPetya - US$ 10 bilhões em danos globais 2022 : China atribui ataque a Northwestern Polytechnical : NOPEN, SECONDDATE e outros 40 tools identificados ``` ## Arsenal | Ferramenta | Tipo | Capacidade | |-----------|------|-----------| | [[grayfish\|GrayFish]] | Rootkit/Bootkit | Persistência em setor de boot; oculto do OS; módulos carregados em memória | | EquationDrug | Plataforma de espionagem | Framework completo com plugins modulares para espionagem avançada | | DoubleFantasy | Dropper/Validator | Instalador inicial que válida se o alvo é de interesse antes de instalar plataforma principal | | [[s0019-regin\|Regin]] | APT framework | Plataforma modular de espionagem de longo prazo; compartilhada com Five Eyes | | Fanny | Worm USB | Air-gap bridging via USB com área de armazenamento oculta | | GROK | Keylogger | Mencionado em documentos Snowden; "keylogger com esteroides" - captura muito além de teclas | | UNITEDRAKE | RAT modular | Malware multi-plataforma; mencionado no NSA ANT Catalog | | [[doublepulsar\|DoublePulsar]] | Backdoor kernel | Implante de kernel; base para exploits SMB/RDP; vazado pelo Shadow Brokers | | [[s0603-stuxnet\|Stuxnet]] | Cyberweapon | Sabotagem de centrífugas de urânio - Natanz, Irã | | [[s0143-flame\|Flame/Flamer]] | Espionagem | Plataforma de espionagem modular; 20MB; Oriente Médio | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Persistence | System Firmware | [[t1542-001-system-firmware\|T1542.001]] | Reprogramação de firmware HDD de 12+ fabricantes - sobrevive formatação | | Initial Access | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Exploits de browser (Firefox 17/Tor Browser) para comprometimento | | Initial Access | Supply Chain | [[t1195-supply-chain-compromise\|T1195]] | Interdição física de CD-ROMs em trânsito; substituição por versão trojanizada | | Lateral Movement | Removable Media | [[t1091-replication-through-removable-media\|T1091]] | Worm Fanny para movimentação em redes air-gapped via USB | | Defense Evasion | Obfuscation | [[t1027-obfuscated-files-or-information\|T1027]] | Múltiplas camadas de criptografia e ofuscação nos implantes | | Defense Evasion | Code Signing | [[t1553-subvert-trust-controls\|T1553]] | Certificados digitais legítimos para assinar componentes maliciosos | ## Detecção e Defesa > [!tip] Indicadores de Compromisso (Históricos) > - Setor MBR (Master Boot Record) modificado com código desconhecido - indicador de GrayFish > - Processos iniciados a partir do setor de boot antes do carregamento do OS - atividade anômala em ferramentas de análise de boot > - USBs com partições ocultas ou capacidade reportada menor que a física real - indicador de Fanny > - EquationDrug: processos com nomes randômicos em System32 com DLLs desconhecidas > - Conexões de rede para IPs em países não usuais roteadas através de proxies em múltiplos países (infra legada ainda pode estar ativa) > [!info] Contexto Atual para Defensores > O Equation Group operacional foi desmantelado após o vazamento Shadow Brokers. Contudo: > - As ferramentas vazadas continuam em uso ativo por grupos chineses, russos e iranianos > - EternalBlue (MS17-010) ainda é explorado regularmente em 2025 - verificar patches > - DoublePulsar ainda aparece em scans da internet - sistemas sem patch MS17-010 permanecem comprometíveis > - Para defenders: focar em garantir que MS17-010 está aplicado em TODO o parque de máquinas Windows ## Referências - [1](https://securelist.com/equation-the-death-star-of-malware-galaxy/68750/) Kaspersky GReAT - Equation Group: The Death Star of the Malware Galaxy (2015) - [2](https://en.wikipedia.org/wiki/Equation_Group) Wikipedia - Equation Group (2024) - [3](https://attack.mitre.org/groups/G0020/) MITRE ATT&CK - G0020 Equation Group (2024) - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Equation+Group) ETDA - Equation Group Threat Card (2025) - [5](https://www.inversecos.com/2025/02/an-inside-look-at-nsa-equation-group.html) InverseCos - Inside NSA Equation Group TTPs from China's Lens (2025) - [6](https://www.infosecinstitute.com/resources/threat-intelligence/equation-group-apt-tao-nsa-two-hacking-arsenals-similar/) InfoSec Institute - Equation Group APT and TAO NSA (2015) **Malware:** [[s0019-regin|Regin]] · [[grayfish|GrayFish]] · [[doublepulsar|DoublePulsar]] · [[s0603-stuxnet|Stuxnet]] · [[s0143-flame|Flame/Flamer]] **Técnicas:** [[t1542-001-system-firmware|T1542.001]] · [[t1091-replication-through-removable-media|T1091]] · [[t1195-supply-chain-compromise|T1195]] · [[t1027-obfuscated-files|T1027]] **Setores alvo:** [[government|Governo]] · [[nuclear|Nuclear]] · [[military|Militar]] · [[energy|Energia]] · [[telecommunications|Telecomúnicações]] **Relacionados:** [[g0034-sandworm|Sandworm]] · [[g0016-apt29|APT29]] · [[g0032-lazarus-group|Lazarus Group]]