Onderzoekers van het Chinese Pangu Lab hebben details onthuld van een “top-tier” achterdeur die door de Vergelijkingsgroepeen geavanceerde persistente dreiging (APT) met vermeende banden met de cyber-warfare intelligence-verzameleenheid van de Amerikaanse National Security Agency (NSA).
nagesynchroniseerd “Bvp47” vanwege talrijke verwijzingen naar de tekenreeks “Bvp” en de numerieke waarde “0x47” die in het coderingsalgoritme wordt gebruikt, werd de achterdeur uit Linux-systemen gehaald “tijdens een diepgaand forensisch onderzoek van een host op een belangrijke binnenlandse afdeling” in 2013 .
De defensie-onderzoeksgroep gaf de aanvallen met de inzet van Bvp47 “Operatie Telescreen” de codenaam, waarbij het implantaat een “geavanceerd verborgen kanaalgedrag vertoonde op basis van TCP SYN-pakketten, codeverduistering, systeemverberging en zelfvernietigingsontwerp”.
Bvp47 zou zijn gebruikt op meer dan 287 doelen in de academische wereld, de economische ontwikkeling, het leger, de wetenschap en de telecomsector in 45 landen, voornamelijk in China, Korea, Japan, Duitsland, Spanje, India en Mexico. terwijl het meer dan een decennium grotendeels onopgemerkt bleef.
De ongrijpbare achterdeur is ook uitgerust met een afstandsbedieningsfunctie die wordt beschermd met behulp van een coderingsalgoritme, dat wordt geactiveerd waarvoor de privésleutel van de aanvaller nodig is – iets wat de onderzoekers zeiden te vinden in de lekken die in 2016 door de Shadow Brokers-hackergroep werden gepubliceerd.
Pangu Lab is een onderzoeksproject van Pangu-teamdie een geschiedenis heeft van het jailbreaken van Apple iPhones die teruggaat tot 2014. Tijdens de Tianfu Cup-hackwedstrijd vorig jaar demonstreerde het white hat-hackingteam verschillende beveiligingsfouten die het mogelijk maakten om op afstand een volledig gepatchte iPhone 13 Pro met iOS 15 te jailbreaken.
The Shadow Brokers lekken
Vergelijkingsgroepaangeduid als de “kroon schepper van cyberspionage” door het Russische beveiligingsbedrijf Kaspersky, is de naam die is toegewezen aan een geavanceerde tegenstander die actief is sinds ten minste 2001 en voorheen niet-openbaar gemaakte zero-day exploits heeft gebruikt om “slachtoffers te infecteren, gegevens op te halen en activiteiten te verbergen op een buitengewoon professionele manier”, sommige van die later werden opgenomen in Stuxnet.
De aanvallen waren gericht op verschillende sectoren in niet minder dan 42 landen, waaronder regeringen, telecom, ruimtevaart, energie, nucleair onderzoek, olie en gas, leger, nanotechnologie, islamitische activisten en geleerden, media, transport, financiële instellingen en bedrijven die encryptie technologieën.
De groep zou banden hebben met de Tailored Access Operations van de NSA (TAO) eenheid, terwijl inbraakactiviteiten behorend tot een tweede collectief dat bekend staat als Longhorn (ook bekend als The Lamberts) zijn toegeschreven aan de Amerikaanse Central Intelligence Agency (CIA).
De malware-toolset van Equation Group werd in 2016 algemeen bekend toen een groep zichzelf de… Schaduwmakelaars lekte de hele reeks exploits die door het elite-hackteam werden gebruikt, waarbij Kaspersky ontdekte overeenkomsten op codeniveau tussen de gestolen bestanden en die van monsters die zijn geïdentificeerd als gebruikt door de dreigingsactor.
Bvp47 als geheime achterdeur
Het incident dat door Pangu Lab is geanalyseerd, omvat twee intern gecompromitteerde servers, een e-mail- en een bedrijfsserver met de namen V1 en V2, en een extern domein (geïdentificeerd als A), met een nieuw tweerichtingscommunicatiemechanisme om gevoelige gegevens uit de systemen te exfiltreren.
“Er is abnormale communicatie tussen externe host A en de V1-server”, aldus de onderzoekers. “Concreet stuurt A eerst een SYN-pakket met een payload van 264 bytes naar poort 80 van de V1-server, en dan initieert de V1-server onmiddellijk een externe verbinding met de high-end poort van de A-machine en onderhoudt een grote hoeveelheid uitwisselingsgegevens.”
Tegelijkertijd maakt V1 verbinding met V2 via de MKB-service om een aantal bewerkingen uit te voeren, waaronder inloggen op de laatste met een beheerdersaccount, proberen terminalservices te openen, mappen opsommen en PowerShell-scripts uitvoeren via geplande taken.
V2 van zijn kant maakt ook verbinding met V1 om een PowerShell-script en een versleutelde payload in de tweede fase op te halen, waarvan de versleutelde uitvoeringsresultaten worden teruggestuurd naar V1, die, volgens de onderzoekers, “werkt als een gegevensoverdracht tussen de Een machine en de V2-server.”
De Bvp47-backdoor die op de servers is geïnstalleerd, bestaat uit twee delen, een loader die verantwoordelijk is voor het decoderen en laden van de daadwerkelijke payload in het geheugen. “Bvp47 leeft over het algemeen in het Linux-besturingssysteem in de gedemilitariseerde zone die communiceert met internet”, aldus de onderzoekers. “Het vervult voornamelijk de belangrijkste communicatierol van de controlebrug in de algehele aanval.”
Links naar de vergelijkingsgroep
De toeschrijving van Pangu Lab aan Equation Group komt voort uit overlappingen met exploits in een GPG-gecodeerd archiefbestand gepubliceerd door de Shadow Brokers – “eqgrp-veilingbestand.tar.xz.gpg” – als onderdeel van a gefaald veiling van de cyberwapens in augustus 2016.
“Tijdens het analyseren van het bestand ‘eqgrp-auction-file.tar.xz.gpg’, bleek dat Bvp47 en de aanvallende tools in het gecomprimeerde pakket technisch deterministisch waren, voornamelijk met inbegrip van ‘dewdrops’, ‘suctionchar_agents’, ‘ tips,’ ‘StoicSurgeon’, ‘incisie’ en andere mappen’, legden de onderzoekers uit.
“De map ‘tipoffs’ bevat de RSA asymmetrisch algoritme privésleutel gebruikt in het geheime Bvp47-kanaal [for] uitvoering van opdrachten en andere bewerkingen. Op basis hiervan kan worden bevestigd dat Bvp47 afkomstig is van [the] Vergelijkingsgroep.”
De bevindingen markeren de tweede keer dat tot nu toe ongedocumenteerde malware, ontwikkeld door de Equation Group, in evenveel maanden aan het licht komt. Eind december 2021 maakte Check Point Research details bekend van een diagnostisch hulpprogramma genaamd “DoubleFeature” dat wordt gebruikt in combinatie met het DanderSpritz-malwareframework.
“Afgaande op de aanvalstools die verband houden met de organisatie, waaronder Bvp47, is Equation group inderdaad een eersteklas hackgroep”, concludeerden de onderzoekers.
“De tool is goed ontworpen, krachtig en op grote schaal aangepast. De mogelijkheid om netwerken aan te vallen, uitgerust met zero-day-kwetsbaarheden, was niet te stoppen, en de gegevensverwerving onder geheime controle was met weinig moeite. De Equation Group heeft een dominante positie in nationale niveau cyberspace confrontatie.”
