Scenariusz ataku
Atak prowadzony przez hakerów z Equation zaczyna się od włamania w celu zainstalowania programu sprawdzającego, czy na danej maszynie są wartościowe informacje. Jest nim trojan DoubleFantasy, który nie tylko sprawdza komputer, ale także otwiera tylne drzwi, przez które można wprowadzić właściwe narzędzia szpiegowskie. Trojan może przeniknąć wieloma różnymi drogami. Najczęściej wykorzystywane są exploity zero-day, czyli niewykryte i niezałatane przez producenta oprogramowania luki, które umożliwiają zdalne wykonanie kodu z uprawnieniami administracyjnymi. Z punktu widzenia hakera zabieg jest niezastąpiony, bo niemal nie da się go wykryć. Kod pozwalający wykorzystać exploit trafia do ofiary w postaci spreparowanego e-maila albo poprzez zmodyfikowaną stronę WWW.
Druga forma to tzw. atak drive-by download, który polega na wstrzyknięciu złośliwego kodu za pomocą luki w plug-inie do przeglądarki (np. służącym do oglądania animacji Flash) lub przez inny program działający w sieci. Gdy atak zdalny jest niemożliwy lub trudny do przeprowadzenia np. ze względu na to, że komputer jest odłączony od sieci albo bardzo skutecznie zabezpieczony, hakerzy z NSA mogą liczyć na pomoc agentów, którzy potrafią uzyskać fizyczny dostęp do atakowanego komputera. Odpowiada za to grupa oddelegowanych operatorów z CIA i FBI z tzw. Access Technologies Operations Branch, którzy nie tylko potrafią dyskretnie włamać się do biura czy domu osoby rozpracowywanej, ale także przechwycić przesyłkę np. z nowym komputerem czy nośnikiem pamięci, który będzie podłączony do atakowanego komputera, podmienić zawartość i tą drogą dostarczyć złośliwe oprogramowanie.
Dyskretna obserwacja
Jeśli dane spływające od trojana DoubleFantasy są obiecujące, hakerzy wykorzystują wbudowany instalator do pobrania do maszyny właściwego oprogramowania szpiegującego, na przykład pakietu EquationDrug. Ta rozbudowana aplikacja składa się z 18 podstawowych modułów i 35 opcjonalnych, instalowanych jako plug-iny. Instalacja tego pakietu pozwala hakerom na przejęcie pełnej kontroli nad komputerem. Uzyskują dostęp do pamięci, wpisywanych znaków, a także obrazu wyświetlanego na ekranie.
Jednocześnie wirus maskuje się, minimalizując ryzyko wykrycia. Ogranicza komunikację z serwerami sterującymi, a zebrane informacje przechowuje w katalogu systemowym, w plikach udających fonty (w formacie FON). Dodatkowym zabezpieczeniem jest mechanizm autodestrukcji, który aktywuje się po kilku miesiącach od chwili zerwania łączności z serwerami kontrolującymi. Pozwala on całkowicie usunąć ślady obecności malware’u, tak by ofiara nigdy nie dowiedziała się o utracie kontroli nad wrażliwymi informacjami.
Szpieg z podpisem cyfrowym
W przypadku nowoczesnych systemów operacyjnych, w tym 64-bitowych wersji Windows, które wykorzystują podpisy cyfrowe do weryfikacji autentyczności oprogramowania, hakerzy z Equation mogą skorzystać z najnowszego malware’u Grayfish. Jest to, jak piszą specjaliści z Kasperskiego, najbardziej finezyjnie działający pakiet szpiegowski w arsenale NSA. Szkodnik przy każdym uruchomieniu komputera wstrzykuje kod do głównego sektora rozruchowego, co pozwala mu przejąć kontrolę nad całym procesem rozruchu systemu Windows. Grayfish ładuje po kolei wszystkie procesy i sterowniki niezbędne do pracy komputera, a wśród nich przemyca narzędzia szpiegowskie, których kod ukryty jest w rejestrze systemowym.
Aby wykonać kod na poziomie jądra systemu, malware wykorzystuje lukę w podpisanym cyfrowo sterowniku CloneCD, który jest instalowany razem z wirusem. W połączeniu z dobrym zaszyfrowaniem wszystkich komponentów pozwala to wirusowi ukryć się w systemie z aktualnym programem antywirusowym. Po załadowaniu zainfekowanego systemu operacyjnego Grayfish montuje zaszyfrowany wirtualny system plików, w którym są zainstalowane aplikacje szpiegowskie, oraz katalog do przechowywania wykradzionych danych.