揭露APT组织Equation Group的Bvp47秘密黑客工具细节

来自实验室的研究人员披露了该公司使用的“顶级”后门的细节方程组是一种高级持续性威胁（APT），据称与美国国家安全局（NSA）的网络战情报收集单位有关。

由于多次引用字符串“Bvp”和加密算法中使用的数字值“0x47”，该后门被称为“Bvp47”，2013年“在对国内一个关键部门的主机进行深入的法医调查期间”从Linux系统中提取。

国防研究小组将涉及部署Bvp47的攻击命名为“电视屏幕行动”，植入物具有“基于TCP SYN数据包、代码混淆、系统隐藏和自毁设计的高级隐蔽通道行为”

据称，Bvp47已被用于45个国家的学术界、经济发展、军事、科学和电信部门的287多个目标，主要分布在中国、韩国、日本、德国、西班牙、印度和墨西哥，而十多年来基本上未被发现。

影子经纪人泄密

Equation Group被俄罗斯安全公司卡巴斯基（Kaspersky）指定为“网络间谍的王冠创造者”，是一个复杂的对手的名字，该对手至少从2001年开始活跃，使用之前未公开的零日攻击“以杰出的专业方式感染受害者、检索数据和隐藏活动”，其中一些后来被纳入Stuxnet。

袭击的目标包括不少于42个国家的多个部门，包括政府、电信、航空航天、能源、核研究、石油和天然气、军事、纳米技术、伊斯兰活动人士和学者、媒体、交通、金融机构以及开发加密技术的公司。

该组织被认为与NSA的定制访问行动（TAO）单位有关，而与第二个被称为Longhorn（又名Lamberts）的集体有关的入侵活动则被归因于美国中央情报局（CIA）。

2016年，一个自称影子经纪人的组织泄露了精英黑客团队使用的全部漏洞，卡巴斯基发现了被盗文件与威胁行为人使用的样本之间的代码级相似性，Equation Group的恶意软件工具集成为了公众知识。

Bvp47作为秘密后门

实验室分析的事件包括两台内部受损的服务器，一台电子邮件服务器和一台分别名为V1和V2的企业服务器，以及一个外部域（标识为A），具有一种新颖的双向通信机制，可从系统中过滤敏感数据。

“外部主机A和V1服务器之间存在异常通信，”研究人员说。“具体来说，A首先向V1服务器的端口80发送一个带有264字节有效负载的SYN数据包，然后V1服务器立即启动到机器高端端口的外部连接，并维护大量交换数据。”

同时，V1通过SMB服务连接到V2以执行许多操作，包括使用管理员帐户登录到后者、尝试打开终端服务、枚举目录，以及通过计划任务执行PowerShell脚本。

V2本身也连接到V1，以检索PowerShell脚本和加密的第二阶段有效负载，其加密的执行结果被发送回V1，据研究人员称，V1“充当a机器和V2服务器之间的数据传输”

安装在服务器上的Bvp47后门由两部分组成，一个加载程序负责解码并将实际有效负载加载到内存中。“Bvp47通常生活在与互联网通信的非军事区的Linux操作系统中，”研究人员说。“它主要承担整个攻击中的核心控制桥通信角色。”

方程组的链接

实验室被归为Equation Group的原因是，它与影子经纪人发布的GPG加密档案文件中包含的漏洞有重叠–；“eqgrp拍卖文件.tar.xz.gpg”；作为2016年8月失败的网络武器拍卖的一部分。

“在分析‘eqgrp auction file.tar.xz.gpg’文件的过程中，发现Bvp47和压缩包中的攻击工具在技术上是确定的，主要包括‘dewdrops’、‘suctionchar_agents’、‘Tipoff’、‘StoicSurgeon’、‘Custing’和其他目录，”研究人员解释道。

“tipoffs”目录包含用于Bvp47隐蔽通道[用于]命令执行和其他操作的RSA非对称算法私钥。在此基础上，可以确认Bvp47来自[等式组]。”

这些发现标志着Equation Group开发的迄今为止未记录的恶意软件在数月内第二次曝光。在2021年12月下旬，检查点研究揭示了一种诊断工具的细节，称为“双特征”，它与DANDRSPRITS恶意软件框架一起使用。

“从与该组织相关的攻击工具来看，包括Bvp47，Equation group确实是一个一流的黑客组织，”研究人员总结道。

“该工具设计精良、功能强大、适应性广。其零日漏洞网络攻击能力势不可挡，隐蔽控制下的数据采集几乎不费吹灰之力。等式集团在国家级网络空间对抗中处于主导地位。”

原文始发于微信公众号（紫队安全研究）：揭露APT组织Equation Group的Bvp47秘密黑客工具细节