Bugün yayınlanan bir rapor, ABD Ulusal Güvenlik Ajansı’na bağlı gelişmiş kalıcı tehdit aktörü olan Equation Group ile bağlantılı, artık Bvp47 olarak izlenen bir Linux arka kapısının teknik yönlerini derinlemesine inceliyor.
Bvp47, yaklaşık on yıl önce, 2013’ün sonlarında Virus Total antivirüs veritabanına ilk kez gönderilmesine rağmen bugüne kadar neredeyse fark edilmeden hayatta kaldı.
Bu sabaha kadar Virus Total’de yalnızca bir antivirüs motoru Bvp47 örneğini algıladı. Rapor infosec topluluğunda yayıldıkça, algılama gelişmeye başladı ve yazıldığı anda altı motor tarafından işaretlendi.
Denklem Grubu bağlantısı
Çinli bir siber güvenlik şirketi olan Pangu Lab’deki Gelişmiş Siber Güvenlik Araştırma ekibi, 2013 yılında “önemli bir yerel departmandaki bir ana bilgisayarın adli soruşturması” sırasında anlaşılması zor kötü amaçlı yazılımı bulduğunu söylüyor.
Adli incelemeden elde edilen Bvp47 örneğinin, etkinleştirmek için özel bir anahtar gerektiren RSA asimetrik şifreleme algoritmasıyla korunan bir uzaktan kontrol işlevine sahip Linux için gelişmiş bir arka kapı olduğu kanıtlandı.
Tarafından yayınlanan sızıntılarda özel anahtarı buldular. Gölge Komisyoncular NSA’nın siber saldırı ekibi Denklem Grubu tarafından kullanılan bilgisayar korsanlığı araçlarını ve sıfırıncı gün açıklarını içeren 2016-2017 yılları arasındaki hacker grubu.
içindeki bazı bileşenler Shadow Brokers sızıntıları Bvp47 çerçevesine – “dewdrop” ve “solutionchar_agents” – entegre edildi – bu, implantın ana Linux dağıtımları, Juniper’s JunOS, FreeBSD ve Solaris gibi Unix tabanlı işletim sistemlerini kapsadığını gösteriyor.
Pangu Lab’ın Bvp47 kötü amaçlı yazılımını Equation Group’a atfetmesinin yanı sıra, arka kapının otomatik analizi de aynı aktörden alınan başka bir örnekle benzerlikler gösteriyor.
Kaspersky’nin Tehdit İlişkilendirme Motoru (KTAE), 483 dizeden 34’ünün, henüz %30 benzerliğe sahip Solaris SPARC sistemleri için Denklemle ilgili başka bir örnekten alınanlarla eşleştiğini gösteriyor. başka bir Denklem kötü amaçlı yazılımı 2018’de Virus Total’e gönderildi ve tehdit istihbaratı araştırmacısı Deresz tarafından 24 Ocak 2022’de yayınlandı.
Global Araştırma ve Analiz Ekibi Direktörü Costin Raiu KasperskyBleepingComputer’a Bvp47’nin kod düzeyindeki benzerliklerinin şirketin mevcut kötü amaçlı yazılım koleksiyonundaki tek bir örnekle eşleştiğini söyledi.
Bu, kötü amaçlı yazılımın yaygın olarak kullanılmadığını gösterir, çünkü genellikle onları yüksek düzeyde hedefli saldırılarda kullanan üst düzey tehdit aktörlerinin hackleme araçlarıyla olur.
Bvp47 Linux arka kapısı durumunda, Pangu Lab araştırmacıları bunun telekom, askeri, yüksek eğitim, ekonomi ve bilim sektörlerindeki hedeflerde kullanıldığını söylüyor.
Kötü amaçlı yazılımın 45 ülkede 287’den fazla kuruluşa çarptığını ve 10 yıldan fazla bir süredir büyük ölçüde tespit edilmediğini belirtiyorlar.
Saldırı aşamaları
Pangu Lab’ın olay analizi, biri harici bir saldırının hedefi ve diğer iki dahili makine olmak üzere üç sunucuyu içeriyordu – bir e-posta sunucusu ve bir iş sunucusu.
Araştırmacılara göre, tehdit aktörü, 264 baytlık bir yüke sahip bir TCP SYN paketi aracılığıyla harici sunucu ile e-posta sunucusu arasında bir bağlantı kurdu.
“Neredeyse aynı zamanda, [email] sunucu bağlanır [business] sunucunun SMB hizmetini kullanır ve sunucuya giriş yapmak da dahil olmak üzere bazı hassas işlemleri gerçekleştirir. [business] yönetici hesabı olan, terminal hizmetlerini açmaya çalışan, dizinleri numaralandıran ve zamanlanmış görevler aracılığıyla Powershell betiklerini yürüten sunucu” – Pangu Laboratuvarı
İş sunucusu daha sonra “Powershell betiği ve ikinci aşamanın şifreli verileri dahil” ek dosyaları indirmek için e-posta makinesine bağlandı.
Güvenliği ihlal edilmiş iki makineden birinde, diğerine iki HTML dosyası sunan bir HTTP sunucusu başlatılır. Dosyalardan biri, asimetrik olarak şifrelenmiş veriler içeren “index.htm” dosyasını indiren, base64 ile kodlanmış bir PowerShell betiğiydi.
Pangu Lab araştırmacıları raporlarında, iki dahili makine arasındaki bir bağlantının, şifreli verileri “kendi protokolü” aracılığıyla iletmek için kullanıldığını söylüyor.
Araştırmacılar, sunucular arasındaki iletişimi geri yükleyebildiler ve bunu, makine A’nın harici sistem ve V1/V2’nin sırasıyla e-posta ve iş sunucusu olduğu aşağıdaki adımlarda özetlediler:
- A Makinesi, bir vuruntu isteği göndermek ve V1 sunucusunda arka kapı programını başlatmak için V1 sunucusunun 80 numaralı bağlantı noktasına bağlanır
- V1 sunucusu, bir veri hattı oluşturmak için A makinesinin üst uç bağlantı noktasını ters olarak bağlar
- V2 sunucusu, V1 sunucusunda açılan arka kapı web hizmetine bağlanır ve V1 sunucusundan PowerShell yürütmesini alır
- V1 sunucusu, komut işlemlerini gerçekleştirmek için V2 sunucusunun SMB hizmet bağlantı noktasına bağlanır
- V2 sunucusu, üst uç bağlantı noktasında V1 sunucusuyla bağlantı kurar ve veri alışverişi için kendi şifreleme protokolünü kullanır.
- V1 sunucusu, A makinesiyle veri etkileşimini senkronize eder ve V1 sunucusu, A makinesi ile V2 sunucusu arasında bir veri aktarımı görevi görür.
Araştırmacılar, üç sunucu arasındaki yukarıdaki iletişim teknolojisine atıfta bulunarak, arka kapının “güçlü teknik yeteneklere sahip bir organizasyon” yaratılması olduğunu değerlendiriyor.