关于一个以前未被发现的Linux后门的新细节已经出现,该后门被认为是由臭名昭著的方程式集团创建的,该集团与美国国家安全局(NSA)有联系。
根据网络安全公司盘古盘古的一份新报告,其高级网络安全研究团队的安全研究人员在2013年“对国内一个关键部门的主机进行取证调查”时首次发现了这种后门背后的恶意软件。当时,该团队决定将该恶意软件命名为Bvp47,因为样本中最常见的字符串是“Bvp”,而0x47是其加密算法中使用的数值。
尽管Bvp47在大约十年前提交给病毒Total的反病毒数据库,但它只出现在一个反病毒引擎中。据BleepingComputer称,随着盘古盘古报告的发布,情况发生了变化,目前盘古盘古已被6个防病毒引擎标记。
在Bvp47恶意软件未被发现的近十年里,它被用于攻击45个国家的287个以上的组织,重点是电信、军事、高等教育、金融和科学领域的目标。
表的内容
与方程式组有关
2013年,盘古盘古高级网络安全研究团队获得的Bvp47样本被证明是一个高级Linux后门,它也包含了一个使用RSA非对称加密算法保护的远程控制功能。
因此,它需要一个私钥来启用,而这个私钥是在2016-2017年影子经纪人黑客组织发布的一系列泄露中发现的。这些泄密文件本身也包含黑客工具和“方程式小组”使用的零日漏洞,该小组被怀疑与美国国家安全局的“量身定制访问行动”部门有关。
在这些漏洞中发现的一些组件,如“dewdrop”和“solutionchar_agents”被集成到Bvp47框架中,这表明它的后门可用于基于unix的操作系统,如主流Linux发行版JunOS、FreeBSD和Solaris。
根据卡巴斯基的威胁归因引擎(KTAE)对后门的自动分析,在Bvp47中找到的483个字符串中,有34个与Solaris SPARC系统的另一个与方程式组相关的示例中的字符串相匹配。该样本还与2018年提交给病毒总量的方程式组的另一个恶意软件样本有30%的相似性。
Kapsersky公司全球研究和分析团队的主管Costin Raiu告诉BleepingComputer, Bvp47的代码级相似性也与恶意软件收集的另一个样本相匹配。这是一个很好的迹象,表明这种恶意软件的使用并不普遍,因为通常情况下,由高级威胁参与者创建的黑客工具,只部署在高度有针对性的攻击。
现在,Bvp47的Linux后门终于被曝光了,安全研究人员可能会对它进行进一步的分析,我们可以看到更多的证据,表明它也被用于过去的其他攻击。
通过BleepingComputer
