Китайская Pangu Lab вскрыла уязвимость Bvp47 от АНБ

1

4

Коротко с сайта SecurityLab.ru

Исследователи из китайской лаборатории Pangu Lab раскрыли подробности о бэкдоре «высшего уровня», используемом APT-группировкой Equation Group. Инструмент, получивший название Bvp47 из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования, был обнаружен на системах под управлением Linux в ходе расследования в 2013 году. В ходе вредоносной кампании Operation Telescreen, связанной с развертыванием Bvp47, использовался вариант вредоноса, отличающийся «расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения».

Что скажете? Есть у кого интересные подробности?

UPD

По просьбам комментаторов ссылка на полный отчёт 56 страниц.

Full Report Download: The Bvp47 Technical Paper (PDF)

Ссылка

←	Система хранения паролей

меня ломает китайская школа интернета

→

Ну и где код этого бекдора в дистрах? Что надо смотреть? Мы на сайте о вкусной и здоровой лапше или где.

One ★★★★★
(25.02.22 11:53:49 MSK)

Ссылка

Очень страшно

kto_tama ★★★★★
(25.02.22 17:46:59 MSK)

Ссылка

Там если два раза вглубь прыгнуть по ссылкам есть PDF с разъяснениями механизма. Добавь в шапку, я там ничего не понял, может кто поймёт и объяснит простым языком.

Может это вообще баян? 2013тый год какой то и прочее.

LINUX-ORG-RU ★★★★★
(25.02.22 18:29:07 MSK)

Ответ на: комментарий от LINUX-ORG-RU 25.02.22 18:29:07 MSK

Может это вообще баян? 2013тый год какой то и прочее.

Вон, в полките уязвимость, нашумевшую недавно, еще в 2013 зарепортили и всем было тогда насрать. Может и тут так же.

~~cocucka~~ ★★★★☆
(25.02.22 18:38:06 MSK)

Ссылка

SecurityLab.ru тёрки ФСБ и АНБ

anonymous
(25.02.22 20:24:39 MSK)

Ссылка

Это не уязвимость, а конкретный троянец, служащий для закрепления на уже взломанной машине. Сидит себе, притворяется валенком, слушает траффик. Если получает SYN-пакет с шифрованный правильным ключиком содержимым — выполняет некие действия. Ну и обладает определённым функционалом для сокрытия на заражённой машине, обхода selinux, борьбы с песочницами и подобного — ничего инновационного, банально перехват функций в ядре.

anonymous
(25.02.22 22:55:20 MSK)

Ответ на: комментарий от anonymous 25.02.22 22:55:20 MSK

Да, я так и понял, только вот не понял одного, как он туда попадает?

Он же не входит в состав ядра и не распространяется с дистрибутивами?

Насколько я понял, то Linux, в целом, и отдельные его дистрибутивы, в частности, вообще не причём. Эта гадость может оказаться в составе любой *nix-подобной системы:

Some components in the Shadow Brokers leaks were integrated into the Bvp47 framework - “dewdrop” and “solutionchar_agents” - indicating that the implant covered Unix-based operating systems like mainstream Linux distributions, Juniper’s JunOS, FreeBSD, and Solaris.

Просто заголовки статей нам как-бы намекают, что у вас тут в этих ваших линупсах огромная дыра, которую вы 10 лет не замечаете.

Так что вопрос о том, как оно туда попало, считаю более актуальным, нежели что оно там делает

MAGNet
(26.02.22 14:06:10 MSK) автор топика

Ответ на: комментарий от MAGNet 26.02.22 14:06:10 MSK

Уязвимость не в ядре, а все заголовки трубят обратное.

anonymous
(27.02.22 22:56:18 MSK)

Ссылка

Спасибо за pdf

/usr/bin/modload

In a certain month of 2015

the same time, the V1 server connects to the V2 server’s SMB service and performs some sensitive operations, including logging in to the V2 server with an administrator account, trying to open terminal services, enumerating directories, and executing Powershell scripts through scheduled tasks.

И как он все это делает на незараженном сервере №2?

One ★★★★★
(27.02.22 23:01:28 MSK)

Ссылка

Тут нечего говорить. Как и было сказано, об этом трубили еще в 2013 году. Кому было насрать (чуть более чем всем), тем и сегодня насрать. А кому не насрать и так рефакторят ядро. И им тоже насрать становится.

~~Oberstserj~~ ★★
(27.02.22 23:09:34 MSK)