En 2013, un investigador de Pangu Lab extrajo una compleja puerta trasera encriptada de la plataforma Linux en el proceso de investigación del host de un departamento doméstico clave Nunca antes se habían visto diseños autodestructivos. En el caso de que no se pueda descifrar por completo, se descubre además que el programa de puerta trasera necesita un código de verificación vinculado al host para ejecutarse normalmente. Luego, los investigadores descifraron el código de verificación y ejecutaron con éxito el programa de puerta trasera, y concluyeron a partir de algunas funciones de comportamiento. Esta es una puerta trasera APT de nivel superior, pero una investigación adicional requirió la clave privada encriptada asimétricamente del atacante para activar la función de control remoto, hasta ahora la investigación de los investigadores ha sido frustrada. Nombrado “Bvp47” basado en la cadena más común “Bvp” en la muestra y el valor numérico 0x47 utilizado en el algoritmo de cifrado.
En 2016, el conocido grupo de piratas informáticos “The Shadow Brokers” afirmó haber pirateado con éxito el “Equation Group” y lanzó una gran cantidad de herramientas y datos de piratería de “Equation Group” en 2016 y 2017. Los miembros de Pangu Lab descubrieron un grupo de archivos sospechosos de contener claves privadas de los documentos publicados por “Shadow Broker”, que resultó ser la única clave privada cifrada asimétrica que puede activar la puerta trasera de nivel superior de Bvp47, que puede directamente y activar y controlar de forma remota la puerta trasera Bvp47 de nivel superior. Se puede concluir que Bvp47 es una herramienta de piratería que pertenece al “Equation Group”.
A través de más investigaciones, los investigadores encontraron que los múltiples procedimientos y manuales de operación de ataque divulgados por el “Shadow Broker” son los mismos que los del manual de operación de la plataforma de ataque a la red de la NSA expuesta por el exanalista de la CIA Snowden en el incidente “Prism Gate”. en 2013. El identificador único utilizado coincide exactamente.
Dado que el gobierno de EE. UU. ha procesado a Snowden por tres cargos de “difusión no autorizada de información de defensa nacional y difusión intencional de información clasificada”, se puede concluir que los documentos publicados por el “agente en la sombra” pertenecen a la NSA, lo que puede probar plenamente que la Organización Ecuación está afiliada a la NSA, es decir, Bvp47 es la puerta trasera superior de la NSA.
Los documentos del “Shadow Economic Man” revelaron que el rango de víctimas superó los 287 objetivos en 45 países, incluidos Rusia, Japón, España, Alemania, Italia, etc. Durante más de diez años, una víctima japonesa fue utilizada como trampolín para atacar. el objetivo.
Pangu Lab ha creado un nombre en clave “Operación Telescreen” para varios incidentes de muestras homólogas de Bvp47. Telescreen es un dispositivo imaginado por el escritor británico George Orwell en su novela “1984”, que puede usarse para monitorear de forma remota a personas u organizaciones que implementan telepantallas. La “policía del pensamiento” puede monitorear cualquier información y comportamiento de la telepantalla a voluntad.
The Equation Group es la organización de ciberataques líder en el mundo y, en general, se cree que está afiliada a la Agencia de Seguridad Nacional (NSA). A juzgar por las plataformas de herramientas de ataque relevantes, incluido Bvp47, Equation Group es de hecho una tecnología de primera clase. La plataforma de herramientas está bien diseñada, es potente y se adapta ampliamente. La capacidad de ataque de red subyacente reflejada por las vulnerabilidades de 0day estaba en Internet en ese momento. tiempo Se puede decir que no tiene obstáculos, y la adquisición de datos bajo control secreto, como explorar la cápsula y extraer objetos, está en una posición dominante en la confrontación del ciberespacio a nivel nacional.
Etapas de ataque
El análisis de incidentes de Pangu Lab involucró tres servidores, uno siendo el objetivo de un ataque externo y otras dos máquinas internas: un servidor de correo electrónico y un servidor empresarial.
Según los investigadores, el actor de amenazas estableció una conexión entre el servidor externo y el servidor de correo electrónico a través de un paquete TCP SYN con una carga útil de 264 bytes.
Luego, el servidor comercial se conectó a la máquina de correo electrónico para descargar archivos adicionales, “incluido el script de Powershell y los datos cifrados de la segunda etapa”.
Se inicia un servidor HTTP en una de las dos máquinas comprometidas, sirviendo dos archivos HTML a la otra. Uno de los archivos era un script de PowerShell codificado en base64 que descarga “index.htm”, que contiene datos cifrados asimétricamente.
Se utiliza una conexión entre las dos máquinas internas para comunicar datos cifrados a través de “su propio protocolo”, dicen los investigadores de Pangu Lab en su informe.
Los investigadores pudieron restaurar la comunicación entre los servidores y la resumieron en los siguientes pasos, donde la máquina A es el sistema externo y V1/V2 son el servidor de correo electrónico y comercial, respectivamente:
- La máquina A se conecta al puerto 80 del servidor V1 para enviar una solicitud de llamada e iniciar el programa de puerta trasera en el servidor V1
- El servidor V1 conecta de forma inversa el puerto de gama alta de la máquina A para establecer una canalización de datos
- El servidor V2 se conecta al servicio web de puerta trasera abierto en el servidor V1 y obtiene la ejecución de PowerShell del servidor V1
- El servidor V1 se conecta al puerto de servicio SMB del servidor V2 para realizar operaciones de comando
- El servidor V2 establece una conexión con el servidor V1 en el puerto de gama alta y utiliza su propio protocolo de cifrado para el intercambio de datos.
- El servidor V1 sincroniza la interacción de datos con la máquina A, y el servidor V1 actúa como una transferencia de datos entre la máquina A y el servidor V2
En referencia a la tecnología de comunicación anterior entre los tres servidores, los investigadores evalúan que la puerta trasera es la creación de “una organización con fuertes capacidades técnicas”.
Fuente: Beijing Qi’an Pangu Laboratory Technology Co., Ltd.
Copiar URL
