Bvp47: Backdoor De La NSA Para Linux

Un informe reciente de Pangu Lab señala la detección de Bvp47, un backdoor para sistemas Linux desarrollado por un grupo de actores de amenazas presuntamente vinculado a la Agencia de Seguridad Nacional de EE.UU. (NSA). Aunque fue incluido en la base de datos de VirusTotal en 2013, este backdoor sigue activo y ha permanecido oculto en incontables implementaciones.

Los primeros reportes indicaban que solo un motor antivirus era capaz de detectar una muestra de Bvp47, aunque con el paso de las horas se han conocido más indicadores de compromiso, lo que permitirá mejorar considerablemente la detección de esta amenaza de seguridad.

Bvp47 es un desarrollo avanzado para Linux con capacidades de acceso remoto protegido a través de un algoritmo de criptografía asimétrica RSA, que requiere una clave privada para su habilitación. Este malware habría impactado en casi 300 organizaciones en 45 países (incluidos España, Chile, México y Argentina), pasando desapercibido por casi 10 años.

Esta clave privada fue encontrada en las filtraciones publicadas por los hackers de Shadow Brokers en 2016/2017, además de otras herramientas de hacking y exploits día cero usados por Equation Group. El backdoor también podría operar en las principales distribuciones de Linux, incluyendo JunOS, FreeBSD y Solaris.

Un análisis automatizado posterior parece confirmar la autoría de Bvp47, ya que comparte múltiples características con otro backdoor desarrollado por Equation Group. Acorde a los expertos de Kaspersky, este backdoor comparte un 30% de las cadenas de código con otro malware identificado en 2018 y disponible en las bases de datos de VirusTotal.

Sobre el ataque de Bvp47, los investigadores señalan que los actores de amenazas controlan 3 servidores, uno responsable de los ataques externos y otras dos máquinas internas a cargo de un servidor email y un servidor empresarial.

Los atacantes establecen una conexión entre el servidor externo y el servidor email a través de un paquete TCP SYN con una carga útil de 264 bytes. Posteriormente el servidor email se conecta al servicio SMB del servidor comercial para realizar algunas operaciones confidenciales, incluyendo la ejecución de scripts PowerShell.

Luego, el servidor comercial se conectó al servidor email para la descarga de archivos adicionales, incluido el script de Powershell y los datos cifrados de la segunda etapa. La conexión entre las máquinas internas permite la transmisión de datos cifrados a través de un protocolo especializado.

La amenaza sigue activa, por lo que se recomienda a los administradores de sistemas revisar el informe completo para estar al tanto de los indicadores de compromiso que evidencian una infección de Bvp47.

IOC

  • 58b6696496450f254b1423ea018716dc

Fuente: PanguLab


Via: blog.segu-info.com.ar
Bvp47: Backdoor De La NSA Para Linux Bvp47: Backdoor De La NSA Para Linux Reviewed by Zion3R on 15:48 Rating: 5