Skip to main content
    🕵️Snowden Archive

    Equation Group

    קבוצת אקוויז'ן: גלו את קבוצת התקיפה הסודית, הקשורה ל-NSA, המשתמשת בהצפנה מתקדמת ובנוזקות קטלניות לתקיפות סייבר גלובליות.

    ~5 min readMay 6, 2026 · 10:20 AM

    קבוצת אקוויז'ן (Equation Group), המוכרת בסין גם בשם APT-C-40, היא גורם תקיפה מתוחכם במיוחד, החשוד בקשר ליחידת המבצעים המותאמים (TAO) של הסוכנות לביטחון לאומי (NSA) של ארצות הברית. מעבדות קספרסקי (Kaspersky Labs) מתארות אותה כאחד מאיומי הסייבר המתקדמים והמתמשכים (APT) המתוחכמים ביותר בעולם ו"המתקדמת ביותר... שראינו", הפועלת לצד יוצרי הנוזקות המפורסמות סטקסנט (Stuxnet) ופליים (Flame). מרבית יעדי התקיפה שלה היו באיראן, רוסיה, פקיסטן, אפגניסטן, הודו, סוריה ומאלי.

    שם הקבוצה נגזר מהשימוש הנרחב שלה בטכניקות הצפנה. עד שנת 2015, קספרסקי תיעדה 500 הדבקות בנוזקות של הקבוצה בלפחות 42 מדינות, תוך ציון שהמספר האמיתי עלול להיות גבוה בהרבה, בסדר גודל של עשרות אלפים, בשל פרוטוקול ההשמדה העצמית שבו משתמשות הנוזקות.

    בשנת 2017, אתר ויקיליקס (WikiLeaks) פרסם דיון פנימי שהתקיים ב-CIA ודן בשאלה כיצד התאפשר זיהוי הקבוצה. אחד המשתתפים בדיון כתב כי "קבוצת אקוויז'ן, כפי שהיא מתוארת בדוח, אינה מתייחסת לקבוצה ספציפית אלא לאוסף של כלים" המשמשים לפריצה.

    התגלית

    ב-16 בפברואר 2015, במהלך כנס বিশ্লেטחי האבטחה של קספרסקי במקסיקו, הודיעה החברה על גילויה של קבוצת אקוויז'ן. על פי הדוח של קספרסקי, הקבוצה פעילה לפחות מאז שנת 2001 וכוללת יותר מ-60 מפעילים. הנוזקות שבהן השתמשה במבצעיה, שקיבלו את הכינויים EquationDrug ו-GrayFish, התגלו כבעלות יכולת לתכנת מחדש את קושחת (firmware) הכוננים הקשיחים. בשל הטכניקות המתקדמות והחשאיות הגבוהה שאפיינו את פעולותיה, הקבוצה חשודה בקשרים ל-NSA, אך מעבדות קספרסקי נמנעו מלזהות באופן רשמי את הגורמים העומדים מאחוריה.

    קשרים אפשריים לסטקסנט ול-NSA

    ממצאי המחקר של קספרסקי משנת 2015 ציינו כי לרכיב הטעינה (loader) של הקבוצה, "GrayFish", יש קווי דמיון לרכיב טעינה אחר שהתגלה בסדרת תקיפות קודמת, "Gauss". בנפרד, צוין כי קבוצת אקוויז'ן השתמשה בשתי פרצות "יום אפס" (zero-day) שנוצלו מאוחר יותר בסטקסנט. החוקרים הסיקו כי "השימוש הדומה בשתי הפרצות יחד, בתולעי מחשב שונות, בערך באותו הזמן, מצביע על כך שקבוצת אקוויז'ן ומפתחי סטקסנט הם אותם גורמים או שהם עובדים בשיתוף פעולה הדוק".

    קושחה

    חוקרי קספרסקי זיהו גם כי פלטפורמת התקיפה הופצה לעיתים באמצעות יירוט פיזי (interdiction), למשל על ידי יירוט תקליטורים לגיטימיים שנשלחו בדואר על ידי מארגני כנס מדעי. לפלטפורמה הייתה יכולת "חסרת תקדים" להדביק את קושחת הכונן הקשיח של יצרנים מובילים ולהתפשט דרכה, כמו גם ליצור ולהשתמש באזורים מוסתרים ובמערכות דיסק וירטואליות לצרכיה. הישג טכני כזה מחייב גישה לקוד המקור של יצרני החומרה. הכלי תוכנן לפעול בדיוק כירורגי, עד כדי החרגת מדינות ספציפיות לפי כתובות IP ומיקוד במשתמשים מסוימים בפורומי דיונים.

    מילות קוד וחתימות זמן

    בתוך קוד הנוזקה נמצאו מילות קוד של ה-NSA: "STRAITACID" ו-"STRAITSHOOTER". בנוסף, חתימות הזמן בקוד מצביעות על כך שהמתכנתים עבדו בעיקר בימים שני עד שישי, בשעות המקבילות לשעות העבודה המקובלות (08:00–17:00) באזור הזמן המזרחי של ארצות הברית.

    פרצת ה-LNK

    צוות המחקר והניתוח הגלובלי של קספרסקי (GReAT) טען כי מצא נוזקה משנת 2008 שהכילה רכיב של סטקסנט בשם "privLib". באופן ספציפי, היא הכילה את פרצת הקיצור (LNK) שנמצאה בסטקסנט רק בשנת 2010. נוזקה זו, ששמה "פאני" (Fanny), סווגה כתולעת התוקפת מערכות הפעלה מסוג חלונות ומנסה להתפשט רוחבית ברשת או באמצעות התקני USB. בקספרסקי ציינו כי הם חושדים שקבוצת אקוויז'ן הייתה קיימת עוד לפני סטקסנט, בהתבסס על זמן ההידור (compile time) המוקדם של הנוזקה "פאני".

    קשר ל-IRATEMONK

    חברת האבטחה F-Secure טוענת כי הנוזקה של קבוצת אקוויז'ן, המדביקה את קושחת הכונן הקשיח, היא למעשה תוכנית של יחידת TAO בשם "IRATEMONK", אחד הפריטים מקטלוג ANT של ה-NSA שנחשף בכתבה של העיתון הגרמני "דר שפיגל" (Der Spiegel) בשנת 2013. IRATEMONK מעניקה לתוקף יכולת להתקין תוכנה באופן קבוע ומתמשך על מחשבים שולחניים וניידים, גם אם הדיסק מפורמט, נתוניו נמחקים או שמערכת ההפעלה מותקנת מחדש. הנוזקה מדביקה את קושחת הכונן הקשיח, אשר מוסיפה בתורה הוראות לרשומת האתחול הראשית (MBR) של הדיסק, הגורמות להתקנת התוכנה מחדש בכל פעם שהמחשב מופעל. היא מסוגלת להדביק כוננים קשיחים של יצרנים מסוימים, ביניהם סיגייט (Seagate), מקסטור (Maxtor), וסטרן דיגיטל (Western Digital), סמסונג (Samsung), יבמ (IBM), מיקרון טכנולוגיות (Micron Technology) וטושיבה (Toshiba).

    הפריצה לקבוצת אקוויז'ן ב-2016

    באוגוסט 2016, קבוצת האקרים שכינתה את עצמה "The Shadow Brokers" (מתווכי הצללים) הודיעה כי גנבה קוד נוזקה מקבוצת אקוויז'ן. מעבדות קספרסקי זיהו קווי דמיון בין הקוד הגנוב לדגימות קוד קודמות של נוזקות הקבוצה שהיו ברשותן. הדמיון כלל מאפיינים ייחודיים לאופן שבו הקבוצה מימשה את אלגוריתם ההצפנה RC6, ולפיכך הסיקו כי ההכרזה אמינה. התאריכים האחרונים של הקבצים הגנובים היו מיוני 2013, מה שהוביל את אדוארד סנודן לשער כי סגירה מערכתית, ככל הנראה בעקבות הדלפותיו על מאמצי המעקב של ה-NSA, היא שעצרה את הפריצה של "מתווכי הצללים" לקבוצה. בין דגימות הנוזקה שהודלפו נכללו פרצות נגד מערכות ה-Adaptive Security Appliance של סיסקו וחומות האש של פורטינט (Fortinet). אחת הפרצות, "EXTRABACON", שנועדה לתקוף את תוכנת ה-ASA של סיסקו דרך פרוטוקול ניהול הרשת הפשוט (SNMP), הייתה פרצת "יום אפס" במועד ההכרזה. גם חברת ג'וניפר (Juniper) אישרה כי חומות האש מסדרת NetScreen שלה נפגעו. פרצת ה-EternalBlue, שנחשפה בהדלפה זו, שימשה מאוחר יותר לביצוע מתקפת הכופר ההרסנית WannaCry ברחבי העולם.

    התקיפה לכאורה על האוניברסיטה הפוליטכנית הצפון-מערבית ב-2022

    בשנת 2022, חקירה שבוצעה על ידי המרכז הלאומי הסיני לתגובת חירום לווירוסי מחשב (CVERC) וחברת אבטחת המחשבים Qihoo 360 ייחסה מתקפת סייבר נרחבת על האוניברסיטה הפוליטכנית הצפון-מערבית של סין (NPU) למשרד למבצעים מותאמים (TAO) של ה-NSA. על פי הדוח הסיני, המתקפה פגעה בעשרות אלפי התקני רשת בסין לאורך השנים והובילה להוצאת למעלה מ-140GB של נתונים בעלי ערך גבוה.

    ב-CVERC נטען כי המתקפה כללה "תקופת הכנה ארוכה", שבמהלכה הוקמה תשתית תקיפה אנונימית על ידי ניצול פרצות "יום אפס" במערכת ההפעלה SunOS. באמצעות פרצות אלו, נפרצו מוסדות בעלי תעבורת רשת גדולה ב-17 מדינות, 70% מהן שכנות לסין. מחשבים אלו שימשו כ"קרשי קפיצה" כדי לחדור לרשת האוניברסיטה באמצעות מתקפות "אדם בתווך" (man-in-the-middle) ו"דיוג ממוקד" (spear-phishing) נגד סטודנטים ומרצים. הדוח טוען גם כי ה-NSA השתמש בשתי חברות כיסוי, "Jackson Smith Consultants" ו-"Mueller Diversified Systems", לרכישת כתובות IP בארה"ב, ששולבו מאוחר יותר בפלטפורמת התקיפה FOXACID.

    CVERC ו-Qihoo 360 זיהו 41 כלים ודגימות נוזקה שונים במהלך הניתוח הפורנזי, שרבים מהם היו דומים או תואמים לכלי הנשק של TAO שנחשפו בהדלפת "מתווכי הצללים". החוקרים ייחסו את התקיפה לקבוצת אקוויז'ן גם על סמך שילוב של זמני תקיפה, טעויות אנוש ושימוש במקלדת באנגלית אמריקאית. ניתוח של אחד הכלים בשם "NOPEN", שהצריך קלט אנושי, הראה כי 98% מהתקיפות בוצעו בשעות העבודה בארה"ב, ללא רישום תקיפות בסופי שבוע או בחגים אמריקאים כמו יום הזיכרון ויום העצמאות.

    מקור: ויקיפדיה https://en.wikipedia.org/wiki/Equation_Group

    More videos in Snowden Archive

    View category

    More articles you might enjoy

    Back to all articles
    🕵️
    🕵️ Snowden Archive

    ICREACH — Sharing Metadata Across Agencies

    ICREACH הוא מנוע חיפוש מסווג של ה-NSA שנחשף ב-2014 על ידי The Intercept ממסמכי סנודן: 850 מיליארד רשומות מטא-דאטה, 1,000 אנליסטים מ-23 סוכנויות.

    6 min read5/6/2026
    🕵️
    🕵️ Snowden Archive

    CSE Airport Wi-Fi Tracking (Canada)

    חשיפת פרשת סנודן: קנדה ריגלה אחר אזרחים באמצעות Wi-Fi בשדות תעופה, בשיתוף פעולה עם ה-NSA. צפו בתוכנית המעקב האלחוטית.

    2 min read5/6/2026
    🕵️
    🕵️ Snowden Archive

    Targeting Huawei (Operation Shotgiant)

    מבצע סייבר חשאי: ה-NSA חדרו לוואווי במבצע "שוטג'יאנט" כדי לחפש קשרים לצבא הסיני ולרגל אחרי ענקית התקשורת. פרטים ממסמכי סנודן.

    2 min read5/6/2026

    Cookies & Privacy 🍪

    We use cookies to improve your experience

    For more information, see our Privacy Policy