2013年12月29日、ドイツのニュース週刊誌Der Spiegelに、NSAの内部向けカタログに関する記事が掲載された。そのカタログにはNSAのTAO(Tailored Access Operations)部隊で使用しているテクノロジーが列挙されている。中でも着目すべきは「IRATEMONK」というテクノロジーだ。

 「IRATEMONK provides software application persistence on desktop and laptop computers by implanting the hard drive firmware to gain execution through Master Boot Record (MBR) substitution.(IRATEMONKは、マスターブートレコード(MBR)を置き換えて実行の機会を得るためにハードディスクのファームウェアに埋め込まれ、デスクトップ機やラップトップ機上のソフトウェア・アプリケーションの永続化を提供する)」

IRATEMONK, ANT Product Data
情報源:Wikimedia

 「This technique supports systems without RAID hardware that boot from a variety of Western Digital, Seagate, Maxtor, and Samsung hard drives.(この技術は、ウェスタン・デジタル、シーゲート、マックストア、サムスンの種々のハードディスクからブートする、RAIDハードウェアを搭載していないシステムを対象としている)」

 2014年1月31日、ブルース・シュナイアーは同氏が呼ぶところの「NSA Exploit of the Day」をIRATEMONKだとみなし、これがニコラス・ウィーバーこちらのコメントを呼んだ。

NCWeaver on IRATEMONK

 「This is probably the most interesting of the BIOS-type implants.(これはおそらく、BIOS類に埋め込むものの中でも、もっとも興味を引かれるものだ)」

 「yet the cost of evading the 'boot from CD' detection is now you have guaranteed 'NSA WAS HERE' writ in big glowing letters if it ever IS detected.(しかし『CDからのブート』を検知するのを回避する際に生じるコストが検出されたのなら、でかでかと目立つ文字で『NSAがここにいた』と書かれていること請け合いだ)」

 さて、おもしろい話がある。IRATEMONKに関連するコンポーネントが、現在カスペルスキーでは検出される。カスペルスキーの研究論文では、脅威の出所について「Equation group」と称して参照している。このグループの拠点となる国名については触れられていないが、同グループはNSAのANTカタログで詳述されているのとまったく同じ能力を持っている。

 Ars TechnicaがHow "omnipotent" hackers tied to NSA hid for 14 years—and were found at last(NSAと結び付きのある「全能の」ハッカーはどのように14年に渡って潜伏し、またいかにしてついに発見に至ったのか)でうまく概要をまとめている。