Das stärkste Werkzeug im Arsenal der „Equation Group“ sei eine Malware, mit der über Firmware-Manipulationen Festplatten direkt infiziert würden, so die Sicherheitsforscher. Dabei werde ein unsichtbarer Bereich geschaffen, in dem Informationen zu späteren Abruf gespeichert werden. Möglichkeiten die Schadsoftware zu entdecken gibt es laut den Kaspersky-Forschern kaum, von üblichen Virenscannern könne das Programm nicht erkannt werden. Auch wenn die Festplatte formatiert, oder das Betriebssystem neu aufgesetzt wird, bleibe die Malware erhalten.

Betroffen sind laut Kaspersky Festplatten von namhaften Herstellern, wie etwa Samsung, Western Digital, Seagate, Toshiba und Hitachi. Laut dem Kaspersky-Forscher Costin Raiu ist davon auszugehen, dass die Angreifer Zugriff auf den Firmware-Quellcode der Festplatten haben. Wie sie dazu kommen, ist unklar. Ein Sprecher von Western Digital schloss gegenüber Reuters aus, dass der Code an Geheimdienste weitergegeben worden sei. Andere Hersteller wollten den Kaspersky-Bericht nicht kommentieren.

Denkbar ist, dass der Code von Regierungsstellen, die Festplatten von den Herstellern kauften und Sicherheitsüberprüfungen vornahmen, an den Geheimdienst weitergegeben wurde. Die NSA könnte aber auch Entwickler in die Unternehmen eingeschleust haben, sagten frühere Geheimdienstmitarbeiter gegenüber der Nachrichtenagentur Reuters.

Ihre Spionagesoftware brachte die Gruppe auch über eine Reihe anderer Methoden auf die Rechner ihrer Zielpersonen. Neben infizierten Websites wurden etwa auch mit Malware versehene USB-Sticks eingesetzt, mit denen beispielsweise System- und Netzwerkinformationen von nicht mit dem Internet verbundenen Rechnern erfasst wurden. Auch CD-Roms, die an Teilnehmer von Konferenzen verteilt wurden, dienten der Hacker-Truppe zur Verbreitung von Schadsoftware.