Команда специалистов по кибербезопасности из китайской Pangu Lab опубликовала отчет, посвященный бэкдору Bvp47, работающему в операционных системах семейства Linux. Программу связывают с хакерской группировкой (APT) Equation Group, которая, по данным аналитиков, действует в интересах Агентства национальной безопасности (АНБ) США.  

 

По информации Bleeping Computer, вредонос до сих пор оставался незамеченным в течение почти десяти лет, несмотря на то, что был добавлен в базу Virus Total еще в конце 2013 г. До выхода отчета Pangu Lab 23 февраля 2022 г., согласно Virus Total, Bvp47 детектировал лишь один антивирусный движок. После осуществления публикации данный показатель начал расти.  

 

Бэкдор (Backdoor) – вредоносная программа, которая предоставляет злоумышленнику доступ к устройству для несанкционированных действий.

 

Команда Advanced Cyber Security Research в Pangu Lab, заявляет, что обнаружила образец «продвинутого» Linux-бэкдора с функцией удаленного управления в 2013 г. в ходе расследования некоего киберинцидента, произошедшего на территории Китая. Однако данная функция была защищена при помощи алгоритма ассиметричного шифрования RSA, для ее активации требовался закрытый ключ.  

 

Специалистам удалось обнаружить подходящий ключ среди информации, «слитой» Shadow Brokers. В 2016 г., эта загадочная хакерская группировка заявила о том, что ей удалось взломать серверы Equation – якобы связанной с АНБ структуры – и похитить хакерские инструменты этой американской спецслужбы.

 

Некоторые из компонентов, фигурирующих в утечках Shadow Brokers – dewdrop и solutionchar_agents – были интегрированы во фреймворк Bvp47, что, как отмечает Bleeping Computer, свидетельствуют о пригодности использования бэкдора в широком перечне Unix и Unix-подобных операционных систем, таких как различные мейнстримные дистрибутив Linux, JunOS, FreeBSD и Solaris.  

 

Автоматический анализ Bvp47 при помощи инструмента Kaspersky Threat Attribution Engine (KTAE) «Лаборатории Касперского» указывает на схожесть (совпадение 34 из 483 строк) с другим образцом вредоносного ПО, используемого Equation для атаки на системы Solaris SPARC.

 

Исследователи отмечают, что бэкдор создан «организацией со значительными техническими возможностями», а защититься от него было практически невозможно из-за того, что тот эксплуатировал ранее неизвестные (Zero-day) уязвимости. Pangu Lab подчеркивает мощь, хорошую проработанность и универсальность инструмента. 

 

 

 

Как отмечают в Pangu Lab, Bvp47 применялся при осуществлении атак более чем на 287 объектов в 45 странах по всему миру. Среди целей хакеров – организации в сферах телекоммуникаций, науки и образования, экономики, а также военный сектор.

 

Наибольшее число кибератак было направлено на организации в Китае, Корее, Испании и Италии, Индии, России, Германии, Швеции, Мексики, США, Пакистана, Великобритании и Японии.  

 

Также специалисты Pangu Lab зафиксировали небольшое количество случаев заражения Bvp47 на территориях Польши, Швейцарии, Бельгии, Алжира, Боснии, Кении, Норвегии, Ирана, Саудовской Аравии, Таиланда, Аргентины, Финляндии, ОАЭ, Боливии, Румынии, Кипра, Израиля, Нидерландов, Египта, Венесуэлы, Ботсваны, ЮАР, Турции, Иордании, Бразилии, Греции, Австрии, Габона, Никарагуа, Венгрии и Чили.

 

Китай выражает серьезную озабоченность в связи с безответственной и злонамеренной деятельностью США в киберпространстве, настоятельно призывает американскую сторону дать разъяснения, немедленно прекратить подобного рода действия и работать со всеми сторонами для поддержания в киберпространстве мира и безопасности посредством диалога и сотрудничества. Об этом сегодня заявила официальный представитель МИД КНР Хуа Чуньин, комментируя обнародованный доклад о кибератаках, уже более десяти лет проводимых Агентством национальной безопасности /АНБ/ США в отношении 45 стран и регионов мира.

В ходе регулярного брифинга сегодня один из журналистов задал следующий вопрос: "Согласно сообщениям, накануне китайская компания в сфере кибербезопасности Beijing Qian Pangu Laboratory Technology опубликовала доклад, в котором говорится о применении хакерской группировкой Equation Group, действующей в интересах АНБ США, бэкдора "высшего уровня". Данное вредоносное программное обеспечение уже на протяжении более чем десяти лет используется для осуществления атак на объекты в телекоммуникационном, академическом, научно-исследовательском, экономическом и военном секторах, расположенных в 45 странах, в том числе в Китае, России, Японии, Республике Корея, Индии, Великобритании, Германии, Нидерландах, Австралии, Таиланде, Египте и Бразилии. Для некоторых атак в качестве плацдарма использовалась Япония. По имеющимся сведениям, это первый случай, когда китайская компания по кибербезопасности публично разоблачила хакерские атаки со стороны АНБ США, предоставив подробную цепочку технических доказательств. Как это прокомментирует китайская сторона?"

Хуа Чуньин заявила, что китайская сторона приняла к сведению соответствующие сообщения и технический доклад и выражает серьезную обеспокоенность безответственной и злонамеренной деятельностью в киберпространстве, о которой сообщается в упомянутом документе. Китай настоятельно призывает США дать по этому поводу разъяснения и немедленно прекратить подобного рода действия, указала официальный представитель, добавив, что китайская сторона примет необходимые меры для защиты кибербезопасности и национальных интересов Китая.

Хуа Чуньин отметила, что согласно данному докладу, подчиненная АНБ США хакерская группировка уже на протяжении более чем десяти лет проводит кибератаки на телекоммуникационные, научно-исследовательские и экономические структуры Китая. Работающая в сфере кибербезопасности китайская компания Qihoo 360 ранее уже публиковала доклад, в котором разоблачила хакерскую группировку "APT-C-39" американского правительства, совершившую крупномасштабную кибератаку на Китай, напомнила Хуа Чуньин. По ее словам, подобные атаки могут привести к утечке большого объема персональных данных, коммерческих тайн и интеллектуальной собственности, поставив под угрозу безопасность ключевых инфраструктурных объектов Китая.

"Стоит отметить, что самые ранние из упомянутых атак отслеживаются с 2005 года и продолжаются после 2015 года. Это вынуждает усомниться в честности Соединенных Штатов относительно исполнения договоренностей по кибербезопасности, достигнутых США и Китаем в 2015 году", -- подчеркнула она.

Хуа Чуньин отметила, что законы США о разведке позволяют американской администрации проводить крупномасштабное неизбирательное хищение конфиденциальной информации и данных по всему миру, в том числе у своих союзников. По ее словам, Эдвард Сноуден и "Викиликс" некогда уже раскрыли крупномасштабные действия со стороны правительства США по прослушиванию и хищению секретных данных по всему миру. Как следует из нынешнего доклада, помимо Китая и крупных развивающихся стран Азии, Африки и Латинской Америки, Соединенные Штаты не щадили ни своих собственных союзников, ни партнеров: масштабы их кибератак распространяются даже на европейских союзников, большую четверку Индо-Тихоокеанского региона и членов альянса "Пять глаз", уточнила китайский дипломат.

"В настоящее время США под предлогом оказания помощи странам в повышении их потенциала активно стремятся к многостороннему и двустороннему сотрудничеству в области кибербезопасности. Это заставляет задуматься, каковы же истинные намерения американской стороны?" -- подытожила Хуа Чуньин.