Dijuluki "Bvp47" karena banyak referensi ke string "Bvp" dan nilai numerik "0x47" yang digunakan dalam algoritma enkripsi, pintu belakang diekstraksi dari sistem Linux "selama penyelidikan forensik mendalam dari sebuah host di departemen domestik utama " pada tahun 2013.
Kelompok riset pertahanan menamai serangan yang melibatkan penyebaran Bvp47 "Operation Telescreen," dengan implan yang menampilkan "perilaku saluran rahasia tingkat lanjut berdasarkan paket TCP SYN, kebingungan kode, penyembunyian sistem, dan desain penghancuran diri."
Bvp47 dikatakan telah digunakan pada lebih dari 287 target di sektor akademisi, pembangunan ekonomi, militer, sains, dan telekomunikasi yang berlokasi di 45 negara, terutama di Cina, Korea, Jepang, Jerman, Spanyol, India, dan Meksiko, semua sementara sebagian besar tidak terdeteksi selama lebih dari satu dekade.
Backdoor yang sulit dipahami juga dilengkapi dengan fungsi kendali jarak jauh yang dilindungi menggunakan algoritma enkripsi, mengaktifkan yang memerlukan kunci pribadi penyerang – sesuatu yang menurut para peneliti mereka temukan dalam kebocoran yang diterbitkan oleh kelompok peretas Shadow Brokers pada tahun 2016.
Pangu Lab adalah proyek penelitian Tim Pangu, yang memiliki sejarah jailbreaking Apple iPhone sejak tahun 2014. Pada kontes peretasan Piala Tianfu tahun lalu, tim peretas topi putih menunjukkan beberapa kelemahan keamanan yang memungkinkan untuk melakukan jailbreak dari jarak jauh. iPhone 13 Pro yang sepenuhnya ditambal menjalankan iOS 15.
Shadow Broker bocor
Equation Group, ditetapkan sebagai "pencipta mahkota spionase dunia maya" oleh perusahaan keamanan Rusia Kaspersky, adalah nama yang diberikan untuk musuh canggih yang telah aktif setidaknya sejak 2001 dan telah menggunakan eksploitasi zero-day yang sebelumnya tidak diungkapkan untuk "menginfeksi korban, mengambil data dan menyembunyikan aktivitas dengan cara yang sangat profesional," beberapa di antaranya kemudian dimasukkan ke dalam Stuxnet.
Serangan tersebut menargetkan berbagai sektor di tidak kurang dari 42 negara, termasuk pemerintah, telekomunikasi, kedirgantaraan, energi, penelitian nuklir, minyak dan gas, militer, nanoteknologi, aktivis dan cendekiawan Islam, media, transportasi, lembaga keuangan, dan perusahaan berkembang. teknologi enkripsi.
Kelompok tersebut diyakini terkait dengan unit Tailored Access Operations (TAO) NSA, sementara aktivitas penyusupan yang berkaitan dengan kolektif kedua yang dikenal sebagai Longhorn (alias The Lamberts) telah dikaitkan dengan Badan Intelijen Pusat AS (CIA).
Perangkat malware Equation Group menjadi pengetahuan publik pada tahun 2016 ketika sebuah grup yang menamakan dirinya Shadow Brokers membocorkan seluruh tahapan eksploitasi yang digunakan oleh tim peretas elit, dengan Kaspersky mengungkap kesamaan tingkat kode antara file yang dicuri dan sampel yang diidentifikasi seperti yang digunakan oleh aktor ancaman.
Bvp47 sebagai Backdoor rahasia
Insiden yang dianalisis oleh Pangu Lab terdiri dari dua server yang disusupi secara internal, email dan server perusahaan masing-masing bernama V1 dan V2, dan domain eksternal (diidentifikasi sebagai A), menggunakan mekanisme komunikasi dua arah baru untuk mengekstrak data sensitif dari sistem.
"Ada komunikasi abnormal antara host eksternal A dan server V1," kata para peneliti. Secara khusus, A pertama mengirimkan paket SYN dengan muatan 264 byte ke port 80 dari server V1, dan kemudian server V1 segera memulai koneksi eksternal ke port kelas atas dari mesin A dan mempertahankan sejumlah besar pertukaran data."
Secara bersamaan, V1 terhubung ke V2 melalui layanan SMB untuk melakukan sejumlah operasi, termasuk masuk ke yang terakhir dengan akun administrator, mencoba membuka layanan terminal, menghitung direktori, dan menjalankan skrip PowerShell melalui tugas terjadwal.
V2, pada bagiannya, juga terhubung ke V1 untuk mengambil skrip PowerShell dan muatan tahap kedua terenkripsi, hasil eksekusi terenkripsi yang dikirim kembali ke V1, yang, menurut para peneliti, "bertindak sebagai transfer data antara Sebuah mesin dan server V2."
Backdoor Bvp47 yang terpasang di server terdiri dari dua bagian, loader yang bertanggung jawab untuk mendekode dan memuat muatan aktual ke dalam memori. "Bvp47 umumnya hidup di sistem operasi Linux di zona demiliterisasi yang berkomunikasi dengan Internet," kata para peneliti. "Ini terutama mengasumsikan peran komunikasi jembatan kontrol inti dalam serangan keseluruhan."
Links ke Equation Group
Atribusi Pangu Lab ke Equation Group berasal dari tumpang tindih dengan eksploitasi yang terkandung dalam file arsip terenkripsi GPG yang diterbitkan oleh Shadow Brokers – "eqgrp-auction-file.tar.xz.gpg" – sebagai bagian dari lelang senjata cyber yang gagal di Agustus 2016.
"Dalam proses menganalisis file 'eqgrp-auction-file.tar.xz.gpg', ditemukan bahwa Bvp47 dan alat penyerang dalam paket terkompresi secara teknis deterministik, terutama termasuk 'dewdrops', 'suctionchar_agents,' ' tipoffs,' 'StoicSurgeon,' 'sayatan' dan direktori lainnya," para peneliti menjelaskan.
"Direktori 'tipoffs' berisi kunci privat algoritme asimetris RSA yang digunakan dalam saluran rahasia Bvp47 [untuk] eksekusi perintah dan operasi lainnya. Atas dasar ini, dapat dipastikan bahwa Bvp47 berasal dari grup Persamaan."
Temuan ini menandai untuk kedua kalinya malware tak berdokumen yang dikembangkan oleh Equation Group terungkap dalam beberapa bulan. Pada akhir Desember 2021, Check Point Research mengungkapkan rincian utilitas diagnostik yang disebut "DoubleFeature" yang digunakan bersama dengan kerangka kerja malware DanderSpritz.
"Dilihat dari alat serangan yang terkait dengan organisasi, termasuk Bvp47, grup Persamaan memang grup peretasan kelas satu," para peneliti menyimpulkan.
"Alat ini dirancang dengan baik, kuat, dan diadaptasi secara luas. Kemampuan serangan jaringannya dilengkapi dengan kerentanan zero-day tak terbendung, dan akuisisi datanya di bawah kendali rahasia dengan sedikit usaha. Equation Group berada di posisi dominan di nasional- tingkat konfrontasi dunia maya."