Эксперты рассказали о секретном хакерском инструменте Bvp47 группировки Equation Group

[Artifact]

Bvp47 использовался для осуществления атак на более чем 287 объектов в различных секторах.

Исследователи из китайской лаборатории Pangu Lab раскрыли подробности о бэкдоре «высшего уровня», используемом APT-группировкой Equation Group. Инструмент, получивший название Bvp47 из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования, был обнаружен на системах под управлением Linux в ходе расследования в 2013 году.
В ходе вредоносной кампании Operation Telescreen, связанной с развертыванием Bvp47, использовался вариант вредоноса, отличающийся «расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения».
Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.
Бэкдор также оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования.
Предположительно, группировка связана с подразделением Tailored Access Operations (TAO) АНБ. Набор вредоносных программ Equation Group стал достоянием общественности в 2016 году, когда группа Shadow Brokers , обнародовала весь пакет эксплоитов, используемых элитной хакерской командой.
Инцидент, проанализированный Pangu Lab, включает два скомпрометированных изнутри сервера, сервер электронной почты и корпоративный сервер с именами V1 и V2 соответственно, а также внешний домен (обозначенный как A), использующий новый механизм двусторонней связи для кражи конфиденциальных данных из систем.
«Имеется аномальная связь между внешним хостом A и сервером V1. В частности, A сначала отправляет SYN-пакет с 264-байтовой полезной нагрузкой на порт 80 сервера V1, а затем сервер V1 немедленно инициирует внешнее соединение с высокопроизводительным портом машины A и поддерживает большой объем обмена данными», — сообщили эксперты.
«Инструмент хорошо спроектированный, мощный и широко адаптирован. Его способность к сетевым атакам, эксплуатирующим уязвимости нулевого дня, была неудержима, а его сбор данных под скрытым контролем не требовал больших усилий», — отметили специалисты.