2月份曝出的網絡間諜活動“方程小組”其惡意軟件的攻擊技術是目前最為高端的，卡巴斯基在其使用的惡意軟件方程毒藥(EquationDrug)中發現了諸如“SKYHOOKCHOW、DRINKPARSLEY、LUTEUSOBSTOS、STRAITACID、STRAITSHOOTER”之類的代號，與美國國安局使用過的代號極為相似。 

一份由斯諾登泄露出來的秘密文檔包含了國安局“特定訪問行動”(TAO)的計劃代號名單，該名單中就有SKYJACKBRAD、DRINKMINT、LUTEUSASTRO這樣的代號。另外一份文檔還提到了國安局的一個名為STRAITBIZZARE的惡意軟件植入。此外，卡巴斯基在方程惡意軟件中還發現了一個名為STANDALONEGROK的組件，而美國國安局使用的一個鍵盤記錄器就叫“GROK”。

而且，本周針對方程小組惡意軟件的技術分析，發現另一個一模一樣的代號：BACKSNARF_AB25。這個代號就出現在“特定訪問行動”的計劃名單中。

另外，在方程小組的惡意軟件中發現的編譯時間戳顯示，軟件制作者幾乎只在周一到周五工作，如果假定他們從早上8點或9點開始工作的話，則意味著他們處于UTC-3或UTC-4時間區。雖然開發者可以改變時間戳，但研究人員認為這里的時間戳非常真實可信。

方程毒藥的其他一些細節：

“方程毒藥出現于2003年，而且一直在用，盡管更先進的角鯊(GrayFish)攻擊平臺已經被推向新的受害者。”卡巴斯基全球研究與分析團隊(GReAT)說。“需要注意的是，方程毒藥不僅僅是一個木馬，而是一個完整的間諜平臺，包括一個通過在特定受害者計算機上部署相關模塊來執行網絡間諜活動的框架。網絡間諜平臺的概念既不新穎也不獨特。”

作為卡巴斯基實驗室口中描述的執行完整間諜活動的平臺，方程毒藥的主要特性是具有幾十個可執行程序、配置文件和受保護的存儲位置。據說它還有高達116個不同插件，可供“方程組”根據目標和所獲信息任意選用來實現很多不同種類的功能。

整個框架結構類似一套迷你操作系統，具有內核態和用戶態組件，通過自定義的消息傳遞接口進行精密交互。平臺包含了一套驅動程序，一個平臺核心(協調器)和大量插件。每個插件都有唯一的ID和版本號，標識著它所提供的一套功能。有些插件依賴于其它插件，如果依賴關系沒有解決好就有可能不工作。

方程毒藥平臺架構

這些插件并不是攻擊者的全部能力。每個插件都有唯一的插件ID號(一個字長)，比如：0x8000、0x8002、0x8004、0x8006等。所有插件ID都是偶數，并且高位都是0x80，目前共發現30個插件ID，最大ID號是0x80CA。考慮到插件開發者是遞增分配插件ID的，再假設其他插件ID被分配給目前沒有發現的模塊，不難推算出還有86個插件有待發現。

卡巴斯基實驗室發現的模塊中有些包含了以下功能：網絡瀏覽偵聽或重路由，系統信息收集和硬盤固件篡改。

“方程毒藥事件呈現出一種有趣的趨勢，這種趨勢我們在分析可能是國家網絡攻擊的工具時也有發現——代碼復雜性的增加。很明顯，國家攻擊者尋求擁有更好穩定性、隱蔽性、可靠性和通用性的網絡間諜工具。你可以只用幾天時間就做出一個基本的瀏覽器密碼小偷或者嗅探器。但國家黑客專注于開發整合此類代碼的框架。這些框架可以定制零散的代碼以適應多種實時系統，能夠提供可靠的途徑將組件和數據以加密的形式存儲起來讓普通用戶無法訪問。”