Μια έκθεση που δημοσιεύτηκε σήμερα εμβαθύνει σε τεχνικές πτυχές ενός backdoor του Linux, εν ονόματι Bvp47 και αναφέρει ότι συνδέεται με την Equation Group, την ομάδα που αποτελεί προηγμένη απειλή η οποία συνδέεται με την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ.
Το Bvp47 επέζησε μέχρι σήμερα σχεδόν απαρατήρητο, παρά το γεγονός ότι υποβλήθηκε στη βάση δεδομένων προστασίας από ιούς της Virus Total για πρώτη φορά πριν από περίπου μια δεκαετία, στα τέλη του 2013. Μέχρι σήμερα το πρωί, μόνο ένας μηχανισμός προστασίας από ιούς στο Virus Total εντόπισε το δείγμα Bvp47. Καθώς η αναφορά εξαπλώθηκε στην κοινότητα του infosec, η ανίχνευση άρχισε να βελτιώνεται με αποτέλεσμα να εντοπιστεί και από 6 ακόμη μηχανήματα.
Η σύνδεση του κακόβουλου λογισμικού με την Equation Group
Η ομάδα Advanced Cyber Security Research στο Pangu Lab, αναφέρει ότι βρήκε το κακόβουλο λογισμικό το 2013, κατά τη διάρκεια μιας ιατροδικαστικής έρευνας ενός οικοδεσπότη σε ένα οικιακό τμήμα. Το δείγμα του Bvp47 που ελήφθη από την ιατροδικαστική έρευνα αποδείχθηκε ότι είναι ένα προηγμένο backdoor για Linux με λειτουργία τηλεχειρισμού που προστατεύεται μέσω του αλγόριθμου ασύμμετρης κρυπτογραφίας RSA, ο οποίος απαιτεί ιδιωτικό κλειδί για να ενεργοποιηθεί. Το ιδιωτικό κλειδί βρέθηκε λόγω των διαρροών που δημοσιεύθηκαν από την ομάδα χάκερ Shadow Brokers μεταξύ 2016-2017, οι οποίες περιείχαν εργαλεία πειρατείας και εκμεταλλεύσεις zero-day. Η Equation Group χρησιμοποίησε στοιχεία από την διαρροή (όπως τα dewdrop και solutionchar_agents) και τα ενσωμάτωσε στο Bvp47 framework. Συνεπώς ανακαλύφθηκε ότι το εμφύτευμα κάλυπτε λειτουργικά συστήματα που βασίζονται σε Unix (όπως Linux, Juniper's JunOS, FreeBSD και Solaris).
Πέραν της απόδοσης του Bvp47 στην ομάδα Equation από το Pangu Lab, η αυτοματοποιημένη ανάλυση του backdoor δείχνει επίσης ομοιότητες με ένα άλλο δείγμα του ίδιου παράγοντα του Equation Group. Πιο συγκεκριμένα, το Threat Attribution Engine (KTAE) της Kaspersky δείχνει ότι 34 από τις 483 συμβολοσειρές ταιριάζουν με εκείνες από ένα άλλο δείγμα της ομάδας άμεσα συνδεόμενο με τα συστήματα Solaris SPARC. Το δείγμα αυτό είχε 30% ομοιότητα με ένα άλλο κακόβουλο λογισμικό της Equation και υποβλήθηκε στο Virus Total το 2018 ενώ δημοσιεύτηκε από τον ερευνητή απειλών, τον Deresz στις 24 Ιανουαρίου 2022.
Συμπληρωματικά, ο Costin Raiu, διευθυντής της Ομάδας Παγκόσμιας Έρευνας και Ανάλυσης της Kaspersky ανέφερε ότι βρέθηκε μόνο μια ομοιότητα ανάμεσα στον κώδικα του Bvp47 και το δείγμα στην τρέχουσα συλλογή κακόβουλου λογισμικού της εταιρείας. Συνεπώς, το κακόβουλο λογισμικό δεν χρησιμοποιήθηκε εκτενώς, παρ’όλο που αυτό συμβαίνει συνήθως με τα εργαλεία hacking από φορείς απειλών υψηλού επιπέδου.
Δείτε επίσης: Το ransomware Entropy συνδέεται με το Dridex malware downloader
Οι ερευνητές του Pangu Lab ανέφεραν επίσης ότι ο Bvp47 χρησιμοποιήθηκε εναντίων στόχων στους τομείς των τηλεπικοινωνιών, του στρατού, της τριτοβάθμιας εκπαίδευσης, της οικονομίας και της επιστήμης. Επιπρόσθετα, το κακόβουλο λογισμικό επιτέθηκε σε 287 οργανισμούς σε 45 χώρες και παρέμεινε σε μεγάλο βαθμό απαρατήρητο για περισσότερα από 10 χρόνια.
Τα στάδια της επίθεσης του Bvp47
Μέσα από την ανάλυση του Pangu Lab, διαπιστώνουμε ότι το περιστατικό συμπεριλαμβάνει 3 servers. O ένας ήταν ο στόχος της εξωτερικής επίθεσης και οι άλλοι δύο ήταν εσωτερικοί υπολογιστές – ένας server email και ένας server επιχειρήσεων. Σύμφωνα με τους ερευνητές, το malware δημιούργησε μια σύνδεση μεταξύ του εξωτερικού server και του server των email μέσω ενός πακέτου TCP SYN με payload των 264 byte. Ταυτόχρονα, ο διακομιστής των email συνδέεται με την υπηρεσία SMB του επιχειρηματικού διακομιστή και εκτελεί ορισμένες ευαίσθητες λειτουργίες, όπως η σύνδεση στον επιχειρηματικό διακομιστή με λογαριασμό διαχειριστή, η προσπάθεια ανοίγματος υπηρεσιών τερματικού, η απαρίθμηση καταλόγων, και εκτέλεση σεναρίων Powershell μέσω προγραμματισμένων εργασιών.
Στη συνέχεια, ο διακομιστής της επιχείρησης συνδέεται με το μηχάνημα των email για να κατεβάσει πρόσθετα αρχεία, συμπεριλαμβανομένου του σεναρίου Powershell και των κρυπτογραφημένων δεδομένων του προηγούμενου σταδίου. Ένας διακομιστής HTTP ξεκινά σε έναν από τους δύο παραβιασμένους υπολογιστές, περνώντας δύο αρχεία HTML στον άλλο. Ένα από τα αρχεία ήταν ένα σενάριο PowerShell με κωδικοποίηση base64 που κατεβάζει το “index.htm”, το οποίο περιέχει ασύμμετρα κρυπτογραφημένα δεδομένα. Συμπερασματικά, μια σύνδεση μεταξύ των δύο εσωτερικών μηχανών χρησιμοποιείται για την επικοινωνία κρυπτογραφημένων δεδομένων μέσω ενός πρωτοκόλλου.
Δείτε επίσης: Google Drive: Προειδοποιεί για ύποπτα αρχεία που χρησιμοποιούνται για phishing/malware
Οι ερευνητές μπόρεσαν να αποκαταστήσουν την επικοινωνία μεταξύ των διακομιστών και την συνόψισαν στα ακόλουθα βήματα, όπου το μηχάνημα Α είναι το εξωτερικό σύστημα και το V1/V2 είναι ο διακομιστής ηλεκτρονικού ταχυδρομείου και ο διακομιστής επιχειρήσεων, αντίστοιχα:
- Το μηχάνημα Α συνδέεται στη θύρα 80 του διακομιστή V1 για να στείλει ένα αίτημα knock και να ξεκινήσει το πρόγραμμα backdoor στον διακομιστή V1.
- Ο διακομιστής V1 συνδέει αντίστροφα τη high-end θύρα του μηχανήματος Α με σκοπό να επιτρέψει την διοχέτευση δεδομένων.
- Ο διακομιστής V2 συνδέεται με την υπηρεσία web backdoor, ο οποίος τρέχει στον διακομιστή V1 και παράλληλα λαμβάνει την εκτέλεση του PowerShell από αυτόν.
- Ο διακομιστής V1 συνδέεται στη θύρα υπηρεσίας SMB του διακομιστή V2 για να εκτελέσει λειτουργίες εντολών.
- Ο διακομιστής V2 δημιουργεί μια σύνδεση με τον διακομιστή V1 στη high-end θύρα και χρησιμοποιεί το δικό του πρωτόκολλο κρυπτογράφησης για την ανταλλαγή δεδομένων.
- Ο διακομιστής V1 συγχρονίζει την αλληλεπίδραση δεδομένων με το μηχάνημα Α και ο διακομιστής V1 λειτουργεί ως μεταφορέας δεδομένων μεταξύ του μηχανήματος Α και του διακομιστή V2.
Αναφερόμενοι στην παραπάνω τεχνολογία επικοινωνίας μεταξύ των τριών διακομιστών, οι ερευνητές εκτιμούν ότι το backdoor αποτελεί δημιουργία ενός οργανισμού με ισχυρές τεχνικές δυνατότητες.
Πηγή: bleepingcomputer.com
