Die Malware der Spionagegruppe „Equation Group“ programmiert die Festplatte des Opfers um. Diese Art von Schadsoftware, die sich tief in die Firmware eines Geräts einnistet, ist nur sehr schwer zu erkennen und praktisch nicht zu entfernen.
Die Software mit der die Firmware einer Festplatte umprogrammiert werden kann hört auf den Namen Equationdrug und Greyfish. Dabei macht sich die Spionagegruppe die von den Herstellern vorgesehene Möglichkeit der Aktualisierung der Firmware auf dem Controller der Festplatte zunutze, die im Normalfall etwa für Updates oder eben die Fehleranalyse genutzt wird. Die Gruppe ist in der Lage eine eigene modifizierte Firmware auf die Festplatte zu flashen. Laut Kaspersky Labs sind in der vierten Version der Malware zwölf „Kategorien“ (Hersteller/Variationen) betroffen. Hier vertreten sind sowohl klassische Festplatten als auch SSDs.
Die genaue Funktionalität der Firmware ist derweil noch ungeklärt. Denkbar ist das die Malware durch den direkten Zugriff auf die Festplatte Daten auf speziell versteckte Bereiche schreiben könnte. Laut Kaspersky Labs überstehen diese Bereiche selbst eine Formatierung des Laufwerks und ermöglichen daher eine neue Infektion des Systems von Grund auf. Da eine Überprüfung und Neuprogrammierung der Firmware auf die bestehende Firmware angewiesen ist, sei es nicht möglich die Integrität der Firmware zweifelsfrei zu verifizieren. Kaspersky Labs empfiehlt daher als drastisches Mittel den kompletten Austausch der Festplatte um die Malware auch wirklich zu beseitigen.
Weiter sei jedoch nicht davon auszugehen das diese Art der Infektion zur gängigen Praxis werde, da die Entwicklung einer alternativen Firmware für Festplatten viel zu teuer sei und immer nur für einzelne Modelle erfolgen kann. Darüber hinaus sind hierfür interne Dokumente der Hersteller notwendig, denn die modifizierte Firmware darf nicht den regulären Betrieb des Massenspeichers stören. Die Anzahl der Festplatten und damit verbundenen Firmware auf dem Markt übersteige schier die Möglichkeiten der Spionagegruppe. Demnach soll das Risiko für den durchschnittlichen Nutzer, sich mit der manipulierten Firmware zu infizieren, äußerst gering sein.
