Kaspersky Lab har de seneste år overvåget og analyseret hen ved 60 grupper, der er ansvarlige for cyberangreb verden over. Nu har virksomheden opdaget en aktør, som overgår alt, hvad man tidligere har opdaget. Gruppen har fået navnet Equation og har været aktiv i hvert fald siden 2001. Visse spor tyder på, at gruppen kan have været aktiv helt tilbage til 1996.

De værktøjer, som Equation bruger for at inficere sine ofre, stjæle data og skjule sporene efter sig, er meget komplicerede og dyre at udvikle. Det, der gør gruppen unik, er blandt andet et skadeligt program, som gør det muligt at omprogrammere indbyggede programmer i hardwaren. Dette gør, at det skadelige program er ekstremt vanskeligt at komme af med, også via diskformatering og geninstallation af operativsystemet. Programmet kan også skabe et skjult område indeni harddisken for at lagre stjålet information, som angriberne bagefter henter.

Equation har også adgang til en orm, som bruges til at kortlægge netværk med såkaldte luftgaps (fysisk separerede computere eller servere uden mulighed for at flytte data mellem dem) for at kunne udføre kommandoer i disse isolerede systemer. Ormen bruger en unik USB-baseret kommando- og kontrolmekanisme, som lader angriberne flytte data frem og tilbage mellem disse isolerede netværk.

Gruppen har siden 2001 inficeret tusinder, måske endda titusinder af ofre i mere end 30 lande. Ofrene findes i en række forskellige sektorer, blandt andet statslige organisationer, telekom, rumfart, energi, kernekraftforskning, olie og gas, militær samt nanoteknik.