Эксперты рассказали о секретном хакерском инструменте Bvp47 группировки Equation Group

Эксперты рассказали о секретном хакерском инструменте Bvp47 группировки Equation Group

Bvp47 использовался для осуществления атак на более чем 287 объектов в различных секторах.

Исследователи из китайской лаборатории Pangu Lab раскрыли подробности о бэкдоре «высшего уровня», используемом APT-группировкой Equation Group. Инструмент, получивший название Bvp47 из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования, был обнаружен на системах под управлением Linux в ходе расследования в 2013 году.

В ходе вредоносной кампании Operation Telescreen, связанной с развертыванием Bvp47, использовался вариант вредоноса, отличающийся «расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения».

Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.

Бэкдор также оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования.

Предположительно, группировка связана с подразделением Tailored Access Operations (TAO) АНБ. Набор вредоносных программ Equation Group стал достоянием общественности в 2016 году, когда группа Shadow Brokers , обнародовала весь пакет эксплоитов, используемых элитной хакерской командой.

Инцидент, проанализированный Pangu Lab, включает два скомпрометированных изнутри сервера, сервер электронной почты и корпоративный сервер с именами V1 и V2 соответственно, а также внешний домен (обозначенный как A), использующий новый механизм двусторонней связи для кражи конфиденциальных данных из систем.

«Имеется аномальная связь между внешним хостом A и сервером V1. В частности, A сначала отправляет SYN-пакет с 264-байтовой полезной нагрузкой на порт 80 сервера V1, а затем сервер V1 немедленно инициирует внешнее соединение с высокопроизводительным портом машины A и поддерживает большой объем обмена данными», — сообщили эксперты.

«Инструмент хорошо спроектированный, мощный и широко адаптирован. Его способность к сетевым атакам, эксплуатирующим уязвимости нулевого дня, была неудержима, а его сбор данных под скрытым контролем не требовал больших усилий», — отметили специалисты.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!