Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Эксперты рассказали о секретном хакерском инструменте Bvp47 группировки Equation Group

24/02/22

equation

Исследователи из китайской лаборатории Pangu Lab раскрыли подробности о бэкдоре «высшего уровня», используемом APT-группировкой Equation Group. Инструмент, получивший название Bvp47 из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования, был обнаружен на системах под управлением Linux в ходе расследования в 2013 году.

В ходе вредоносной кампании Operation Telescreen, связанной с развертыванием Bvp47, использовался вариант вредоноса, отличающийся «расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения».

Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.

Бэкдор также оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования.

Предположительно, группировка связана с подразделением Tailored Access Operations (TAO) АНБ. Набор вредоносных программ Equation Group стал достоянием общественности в 2016 году, когда группа Shadow Brokers , обнародовала весь пакет эксплоитов, используемых элитной хакерской командой.

Инцидент, проанализированный Pangu Lab, включает два скомпрометированных изнутри сервера, сервер электронной почты и корпоративный сервер с именами V1 и V2 соответственно, а также внешний домен (обозначенный как A), использующий новый механизм двусторонней связи для кражи конфиденциальных данных из систем.

«Имеется аномальная связь между внешним хостом A и сервером V1. В частности, A сначала отправляет SYN-пакет с 264-байтовой полезной нагрузкой на порт 80 сервера V1, а затем сервер V1 немедленно инициирует внешнее соединение с высокопроизводительным портом машины A и поддерживает большой объем обмена данными», — сообщили эксперты.

«Инструмент хорошо спроектированный, мощный и широко адаптирован. Его способность к сетевым атакам, эксплуатирующим уязвимости нулевого дня, была неудержима, а его сбор данных под скрытым контролем не требовал больших усилий», — отметили специалисты.

Темы:ПреступленияAPT-группыКиберугрозыEquation Group
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...