Um relatório divulgado hoje promete agitar o mundo da espionagem internacional. Descobriu-se que a NSA, o serviço de espionagem dos Estados Unidos, criou especialmente para o Linux um backdoor chamado Bvp47 que ficou indetectável por pelo menos 10 anos. O Bvp47 está vinculado ao Equation Group, o agente avançado de ameaças persistentes que por sua vez tem ligação direta com a Agência de Segurança Nacional dos EUA.
O Bvp47 sobreviveu até hoje quase sem ser detectado, apesar de ter sido submetido ao banco de dados de antivírus Virus Total pela primeira vez há cerca de uma década, no final de 2013.
Até agora, apenas um mecanismo antivírus no Virus Total detectou a amostra Bvp47. À medida que o relatório se espalhava na comunidade infosec, a detecção começou a melhorar, sendo sinalizada por seis mecanismos no momento.
A conexão do Equation Group
A equipe de Pesquisa Avançada de Segurança Cibernética da Pangu Lab, uma empresa chinesa de segurança cibernética, diz que encontrou o malware em 2013, durante uma “investigação forense de um host em um departamento doméstico importante”.
A amostra Bvp47 obtida da investigação forense provou ser um backdoor avançado para Linux. Este possui uma função de controle remoto protegida pelo algoritmo de criptografia assimétrica RSA. Isso requer uma chave privada para habilitar.
Eles encontraram a chave privada nos vazamentos publicados pelo grupo de hackers Shadow Brokers entre 2016-2017, que continham ferramentas de hacking e explorações de dia zero usadas pela equipe de ataque cibernético da NSA, o Equation Group.
Alguns componentes nos vazamentos dos Shadow Brokers foram integrados à estrutura Bvp47 – “dewdrop” e “solutionchar_agents”. Isso indica que o implante cobria sistemas operacionais baseados em Unix, como distribuições Linux convencionais, Juniper’s JunOS, FreeBSD e Solaris.
Além do Pangu Lab atribuir o malware Bvp47 ao Equation Group, a análise automatizada do backdoor também mostra semelhanças com outra amostra do mesmo vetor.
O Threat Attribution Engine (KTAE) da Kaspersky mostra que 34 das 483 strings correspondem às de outra amostra relacionada ao Equation para sistemas Solaris SPARC. Por sua vez, essas têm uma semelhança de 30% com outro malware Equation enviado ao Virus Total em 2018 e postado pelo pesquisador de inteligência de ameaças Deresz em 24 de janeiro de 2022.
Backdoor Bvp47 para Linux foi criado pelo serviço de espionagem NSA dos Estados Unidos ficou indetectável por 10 anos
Costin Raiu, diretor da Equipe de Pesquisa e Análise Global da Kaspersky, disse que as semelhanças no nível de código do Bvp47 correspondem a uma única amostra na coleção de malware atual da empresa.
Isso indica que o malware não foi usado intensamente. Nesses casos de serem ferramentas de hackers de agentes de ameaças poderosos, os ataques costumam ser altamente direcionados.
No caso do backdoor Bvp47 Linux, os pesquisadores do Pangu Lab dizem que ele foi usado em alvos nos setores de telecomunicações, militar, ensino superior, econômico e científico.
Eles observam que o malware atingiu mais de 287 organizações em 45 países e passou despercebido por mais de 10 anos.
Fases de ataque
A análise de incidentes da Pangu Lab envolveu três servidores, sendo um alvo de um ataque externo. Também existem duas outras máquinas internas – um servidor de e-mail e um servidor comercial.
“Quase ao mesmo tempo, o servidor [email] se conecta ao serviço SMB do servidor [comercial] e executa algumas operações confidenciais, incluindo fazer login no servidor [comercial] com uma conta de administrador, tentar abrir serviços de terminal, enumerar diretórios, e executando scripts do Powershell por meio de tarefas agendadas” – Pangu Lab
De acordo com os pesquisadores, o agente da ameaça estabeleceu uma conexão entre o servidor externo e o servidor de e-mail por meio de um pacote TCP SYN com uma carga útil de 264 bytes.
O servidor de negócios se conectou à máquina de e-mail para baixar arquivos adicionais, “incluindo o script Powershell e os dados criptografados do segundo estágio”.
Um servidor HTTP é iniciado em uma das duas máquinas comprometidas. Assim, serve dois arquivos HTML para a outra. Um dos arquivos era um script do PowerShell codificado em base64 que baixa “index.htm”, que contém dados criptografados assimetricamente.
Uma conexão entre as duas máquinas internas é usada para comunicar dados criptografados por meio de “seu próprio protocolo”, segundo os pesquisadores do Pangu Lab.
Os pesquisadores restauraram a comunicação entre os servidores. Eles enumeram as seguintes etapas: a máquina A é o sistema externo e V1/V2 são o e-mail e o servidor de negócios, respectivamente:
- A máquina A se conecta à porta 80 do servidor V1 para enviar uma solicitação de batida e iniciar o programa backdoor no servidor V1
- O servidor V1 conecta inversamente a porta high-end da máquina A para estabelecer um pipeline de dados
- O servidor V2 se conecta ao serviço web backdoor aberto no servidor V1 e obtém a execução do PowerShell do servidor V1
- O servidor V1 se conecta à porta de serviço SMB do servidor V2 para executar operações de comando
- O servidor V2 estabelece uma conexão com o servidor V1 na porta high-end e usa seu próprio protocolo de criptografia para troca de dados
- O servidor V1 sincroniza a interação de dados com a máquina A e o servidor V1 atua como uma transferência de dados entre a máquina A e o servidor V2
Referindo-se à tecnologia de comunicação acima entre os três servidores, os pesquisadores avaliam que o backdoor é a criação de “uma organização com fortes capacidades técnicas”.
Via BleepingComputer