E安全8月17日讯 知名安全厂商对Equation Group恶意软件进行了检测与分析，并表示其确实为The Shadow Brokers的根源所在。

卡巴斯基方面于日前确认称，由The Shadow Brokers于上周末在GitHub上泄露出的恶意软件样本真实存在，且与其2015年2月分析过的Equation Group恶意软件样本颇为相似。

在此次案例当中，卡巴斯基实验室全球研究与分析团队（简称GReAT）指出，他们之所以能够得出二者相关的结论，是因为The Shadow Brokers给出的恶意软件中存在着RC5与RC6加密算法。

卡巴斯基方面指出，在过去一年当中，只有Equation Group曾经在其恶意软件中使用过这两种算法。

线索：RC5、RC6以及编码模式

在当初对Equation Group恶意软件进行初步分析时，卡巴斯基方面表示其共发现了20种采用RC5与RC6代码的不同恶意软件样本。而转回目前，此次The Shadow Brokers恶意软件的泄露数据内则存在347项不同恶意软件样本。

另外，卡巴斯基团队还发现流出恶意软件中的编码模式与且仅与Equation Group的黑客工具存在相似之处。其技术细节解释如下：

“在Equation Group恶意软件当中，加密库利用常量0x61C88647进行减法运算。在大多数已经公布的RC5/6代码当中，这一常量通常被存储为0x9E3779B9，即相当于-0x61C88647。由于在特定硬件之上加法的运算速度高于减法，因此将此常量以负值形式保存从而将减法转换为加法具有实际意义。”

卡巴斯基公司的GReAT团队还指出，他们“拥有相当的信心认定”目前由The Shadow Brokers散布至网络的恶意软件样本与此前Equation Group所使用过的恶意软件有关。

目前正在对Equation Group恶意软件的其余部分进行拍卖。该组织共发布了347项恶意软件样本进行免费预览，并表示将为赢得拍卖者提供另外一组多款黑客工具。