为什么方程式组织(EQGRP)不属于NSA | xorl %eax, %eax

我在2021年的演讲《站在国家行为体角度》中讨论过这个话题，但最近发现仍有人将EQGRP直接等同于NSA，这是不准确的。实际上，EQGRP是由NSA的特定访问行动处(TAO)和CIA信息作战中心(IOC)的网络操作人员共同组成的联合体。更准确的说法应该是：EQGRP代表的是美国整个情报界的网络能力。以下是具体分析…

维基解密在2017年泄露的Vault 7资料，经过多年验证被确认是真实有效的。这些资料不仅曝光了CIA的网络工具，还罕见地揭示了其网络部门内部的工作文化与环境。这正是本文的核心信息来源。

CIA信息作战中心(IOC)简史

9/11事件后，CIA主导美国反恐行动，获得了近乎无限的预算和支持。这使得CIA能够突破传统人力情报(HUMINT)领域，发展信号情报(SIGINT)等能力，即建立自己的网络作战体系。

2015年CIA公开宣布成立数字创新指挥部(DDI)，据称始于2013年Brennan局长的倡议。DDI由首席信息官(CIO)领导，负责数字平台现代化、流程数字化、软件开发等工作。自然，CIA大量依赖情报界专家来构建这些能力，而当时网络作战/SIGINT最成熟的机构当属国防部下属的NSA。

在DDI内部，CIA成立了网络情报中心(CCI)，负责网络领域的情报支持。根据Vault 7泄露，2016年时这里容纳了维基解密所称的"黑客部门"，拥有超过5000名注册用户，负责开发、维护和使用网络能力支持CIA任务。这就是信息作战中心(IOC)——CCI下属的网络操作部门，他们利用CCI其他部门提供的能力在网络空间开展行动。

从泄露资料可以确认，CCI早在2008-2009年就已运作（可能采用不同组织结构），远早于2015年DDI的公开声明。

CIA工程开发组(EDG)与技术咨询委员会(TAC)

CCI内部最大的部门之一是工程开发组(EDG)，下设多个工程分支，为IOC操作员、美国情报界及盟友开发和维护各类网络能力。例如应用工程处(AED)包含嵌入式开发分支(EDB)、远程开发分支(RDB)、作战支持分支(OSB)等。

EDG资深员工组成了技术咨询委员会(TAC)，负责评审技术难题并提供专家建议。

TAC关于EQGRP的讨论

在卡巴斯基发布《EquationDrug间谍平台内幕》报告后，TAC启动讨论分析失误原因——为何卡巴斯基GReAT团队能发现大量美国网络能力并将其全部归为"方程式组织"(EQGRP)。完整讨论线程可在维基解密查阅。

从讨论中可见：

• EQGRP实质是NSA/TAO与CIA/IOC能力的集合体
• 某些植入程序由CIA和NSA共同开发
• CIA/IOC与NSA/TAO在能力复用方面存在流程差异
• 以及未来避免能力暴露的教训。建议阅读该线程，这是观察国家行为体应对高质量威胁情报报告的珍贵案例。

结论

将EQGRP简单等同于NSA的说法基本是错误的。除非Vault 7是欺骗行动（多年研究已基本排除），否则TAC的讨论明确显示：EQGRP是美国网络操作人员（主要是NSA/TAO和CIA/IOC）使用的网络能力集合。

虽然"NSA所为"比"美国所为"更吸引眼球，且2000年代初的漏洞利用很可能来自NSA/TAO（当时CIA能力尚不成熟），但现今所知的EQGRP绝非NSA独有。

最后强调：国家行为体归因需注意"情报界"的本质——机构间共享能力。同一国家内部几乎共享全部，五眼联盟大量共享，MAXIMATOR联盟则共享特定能力。正如我2021年演讲所述：

• 国家行为体只是执行特定任务的普通人
• 意图难判，需结合地缘政治观察
• APT基础设施≠执行者≠攻击目标
• 多数收集工作是批量/自动化完成
• 归因极难…发布结论前务必审慎思考