Es sind neue Details über eine bisher unentdeckte (*10*) Linux-Hintertür aufgetaucht, die angeblich von der berüchtigten Equation Group erstellt wurde, die Verbindungen zur US-amerikanischen (*10*) Homeland Security (*10*) Agency (NSA) hat.
Laut einem neuen Bericht (*10*) des Cyber-Sicherheitsunternehmens (*10*) Pangu haben Forscher (*10*) Sicherheit (*10*) ihr Team (*10*) Investigation (*10*) Advanced Cyber ausgestellt Der Sicherheitsdienst entdeckte die Malware hinter (*10*) der Hintertür im Jahr 2013 während einer „forensischen Untersuchung (*10*), die auf einem nationalen Abteilungsschlüssel gehostet wurde“. Damals beschloss das Team, die Malware Bvp47 zu nennen, da die häufigste Zeichenfolge in der Stichprobe „Bvp“ war und 0x47 der numerische Wert war, der in ihrem (*10*) Verschlüsselungsalgorithmus verwendet wurde.
Obwohl Bvp47 vor fast einem Jahrzehnt an die Antivirendatenbank Virus Total (*10*) (*10*) übermittelt wurde, tauchte es nur in einer Antiviren-Engine auf. Mit der Veröffentlichung des (*10*) Pangu-Berichts änderten sich die Dinge und er wurde laut BleepingComputer nun von sechs Antiviren-Engines gemeldet.
In den fast zehn Jahren, in denen die Bvp47-Malware unbemerkt blieb, wurde sie für Angriffe auf über (*10*) 287 Organisationen in 45 Ländern eingesetzt, wobei Ziele in den Bereichen Telekommunikation, Militär, Hochschulbildung, Finanzen und Wissenschaft im Visier waren.
Links zur Gruppe Gleichung
Bei der Probe Bvp47, die 10 vom Pangu-Team (*10*) Research (*10*) Advanced Cyber Security (*2013*) erhalten wurde, handelte es sich um eine fortschrittliche (*10*) Linux-Hintertür, die auch eine (*10*) Fernsteuerungsfunktion enthielt, die durch den (*10*) asymmetrischen RSA-Verschlüsselungsalgorithmus geschützt war.
Daher ist zur Aktivierung ein privater Schlüssel erforderlich. Dieser private Schlüssel wurde in einer Reihe (*10*) Leaks gefunden, die von der (*10*) Hacking-Gruppe Shadow Brokers in den Jahren 2016–2017 veröffentlicht wurden. Die Leaks selbst enthielten auch Zero-Day-Hacking-Tools (*10*) und Exploits (*10*), die von der Equation Group verwendet wurden, von der angenommen wird, dass sie Verbindungen zur Operations (*10*) Custom Access Unit (*10*) der NSA haben.
Einige (*10*) der in diesen Leaks gefundenen Komponenten, wie „dewdrop“ und „solutionchar_agents“, wurden in das Bvp47-Framework integriert, was darauf hindeutet, dass seine Hintertür auf Unix-basierten Betriebssystemen wie Hauptdistributionen verwendet werden könnte ( *10*) Linux, JunOS, FreeBSD und Solaris.
Laut einer automatisierten (*10*) Backdoor-Analyse, die von der Threat Attribution Engine (KTAE) (*10*) von Kaspersky durchgeführt wurde, stimmen 34 (*10*) der 483 in Bvp47 gefundenen Zeichenfolgen mit der (*10*) anderen Stichprobe im Zusammenhang mit den (*10*)-Gleichungen für Solaris SPARC-Systeme überein. Es gab auch eine 30-prozentige Ähnlichkeit mit einer anderen Probe (*10*) Malware (*10*) Equation Group, die 2018 an Virus Total übermittelt wurde.
Costin Raiu, Leiter des weltweiten (*10*) Forschungs- und Analyseteams (*10*) von Kapsersky, sagte gegenüber BleepingComputer, dass die Ähnlichkeiten im (*10*) Bvp47-Code auch mit einem anderen Beispiel (*10*) aus seiner Malware-Sammlung (*10*) übereinstimmen. Dies ist ein guter Hinweis (*10*), dass die Verwendung (*10*) dieser Schadsoftware nicht weit verbreitet war, wie dies oft der Fall (*10*) bei Hacking-Tools (*10*) ist, die von hochkarätigen (*10*) Bedrohungsakteuren (*10*) entwickelt wurden und diese nur bei sehr schwerwiegenden Angriffen einsetzen.
Nachdem die Bvp47-Linux-Hintertür nun endlich enthüllt wurde, ist es wahrscheinlich, dass Sicherheitsforscher (*10*) weitere Analysen dazu durchführen werden und wir möglicherweise weitere Beweise (*10*) dafür sehen, dass sie auch bei anderen früheren Angriffen verwendet wurde.
Über BleepingComputer