中国専門家、Equation Group の秘密ハッキングツール「Bvp47」の詳細を発見
https://amp.thehackernews.com/thn/2022/02/chinese-experts-uncover-details-of.html
中国Pangu Labの研究者は、米国国家安全保障局(NSA)のサイバー戦争情報収集部門と関係があるとされる高度持続的脅威(APT)、
Equation Groupが使用した「最高級」のバックドアに関する詳細を公開しました。
Bvp47」は、暗号化アルゴリズムに使用されている「Bvp」という文字列と「0x47」という数値が多数使用されていることから名付けられたもので、
2013年に「国内の主要部門のホストの詳細なフォレンジック調査中に」Linuxシステムから抽出されたものです。
Pangu Labは、Bvp47の展開を含む攻撃を「Operation Telescreen」とコードネームで呼んでおり、インプラントの特徴は、
"TCP SYNパケットに基づく高度な秘密チャンネルの動作、コードの難読化、システムの隠蔽、自己破壊の設計 "にある。
シャドーブローカーのリーク
Equation Group は、ロシアのセキュリティ企業 Kaspersky から「サイバースパイ活動の王冠」と呼ばれています。
これは、少なくとも 2001 年から活動している高度な敵対者に与えられた名前で、これまでに公表されていないゼロデイ エクスプロイトを使用して
「被害者への感染、データの取得、卓越した専門的方法での活動の隠蔽」を行っており、その一部は後に Stuxnet に組み込まれました。
政府、通信、航空宇宙、エネルギー、原子力研究、石油・ガス、軍事、ナノテクノロジー、
イスラム活動家・学者、メディア、交通、金融機関、暗号化技術開発企業など、
42カ国以上のさまざまな分野を標的にしています。
このグループは、NSAのTAO(Tailored Access Operations)ユニットと関連があると考えられており、Longhorn(別名The Lamberts)と呼ばれる第2の集団に関する侵入活動は、
米国中央情報局(CIA)に起因するものとされています。
Equation Groupのマルウェアツールセットは、2016年にShadow Brokersと名乗るグループが、
このエリートハッキングチームが使用したエクスプロイトの全トランシェをリークしたことで公になり、
カスペルスキーは、盗んだファイルとこの脅威者が使用したと特定したサンプルの間にコードレベルの類似性があることを発見しています。
秘密のバックドアとしてのBvp47
Pangu Labが分析した事件は、
V1およびV2と名付けられたメールサーバとエンタープライズサーバの2つの内部感染サーバと外部ドメイン
(Aと名付けられた)で構成されており、
システムから機密データを流出させるための新しい双方向通信メカニズムが搭載されています。
https://i.imgur.com/kFRJOof.jpg
"外部ホストAとV1サーバとの間で異常な通信が発生している "と研究者は述べています。
"具体的には、AはまずV1サーバの80番ポートに264バイトのペイロードを持つSYNパケットを送信し、V1サーバは直ちにAマシンのハイエンドポートに外部接続を開始し、
大量の交換データを保持する。"
同時に、V1はSMBサービス経由でV2に接続し、管理者アカウントでV2にログインし、
ターミナルサービスを開こうとしたり、ディレクトリを列挙したり、スケジュールタスクでPowerShellスクリプトを実行したりと、
さまざまな操作を行う。
V2側も、V1に接続してPowerShellスクリプトと暗号化された第2段階のペイロードを取得し、
その暗号化された実行結果をV1に送り返し、研究者によれば、"AマシンとV2サーバ間のデータ転送として機能する "とのことです。
サーバーにインストールされたBvp47バックドアは、
デコードと実際のペイロードをメモリにロードする役割を持つローダーの2つの部分から構成されています。
"Bvp47は一般的に、インターネットと通信する非武装地帯のLinuxオペレーティングシステムに生息している "と、
研究者は述べています。"それは主に全体的な攻撃でコア制御ブリッジ通信の役割を想定しています。"
イカソ
www.DeepL.com/Translator(無料版)で翻訳しました。
