De nouveaux détails sont apparus concernant une porte dérobée Linux jusque-là non détectée qui aurait été créée par le notoire Equation Group, qui a des liens avec la National Security Agency (NSA) des États-Unis.
Selon un nouveau rapport de la société de cybersécurité Pangu, des chercheurs en sécurité de son équipe Advanced Cyber Security Research ont découvert le logiciel malveillant derrière la porte dérobée en 2013 lors d’une «enquête médico-légale sur un hôte dans un département national clé». À ce moment-là, l’équipe a décidé de nommer le malware Bvp47 car la chaîne la plus courante dans l’échantillon était « Bvp » et 0x47 était la valeur numérique utilisée dans son algorithme de chiffrement.
Bien que Bvp47 ait été soumis à la base de données antivirus de Virus Total il y a près de dix ans, il n’est apparu que dans un seul moteur antivirus. Les choses ont changé avec la publication du rapport de Pangu et il a maintenant été signalé par six moteurs antivirus selon BipOrdinateur.
Pendant les presque dix années pendant lesquelles le logiciel malveillant Bvp47 n’a pas été détecté, il a été utilisé pour frapper plus de 287 organisations dans 45 pays, en se concentrant sur des cibles dans les secteurs des télécommunications, de l’armée, de l’enseignement supérieur, de la finance et des sciences.
Liens avec le groupe Équation
L’échantillon Bvp47 qui a été obtenu de l’équipe Advanced Cyber Security Research de Pangu en 2013 s’est avéré être une porte dérobée Linux avancée qui contenait également une fonction de contrôle à distance protégée à l’aide de l’algorithme de chiffrement asymétrique RSA.
En tant que tel, il nécessite une clé privée pour l’activer et cette clé privée a été trouvée dans une série de fuites publiées par le groupe de piratage Shadow Brokers en 2016-2017. Les fuites elles-mêmes contenaient également des outils de piratage et des exploits zero-day utilisés par le groupe Equation, soupçonné d’avoir des liens avec l’unité des opérations d’accès sur mesure de la NSA.
Certains des composants trouvés dans ces fuites tels que « dewdrop » et « solutionchar_agents » ont été intégrés dans le framework Bvp47, ce qui indique que sa porte dérobée pourrait être utilisée sur les systèmes d’exploitation basés sur Unix tels que les distributions Linux grand public JunOS, FreeBSD et Solaris.
D’après l’analyse automatisée de la porte dérobée par le moteur d’attribution des menaces (KTAE) de Kaspersky, 34 des 483 chaînes trouvées dans Bvp47 correspondent à celles d’un autre échantillon lié au groupe d’équations pour les systèmes Solaris SPARC. Il y avait également une similitude de 30% avec un autre échantillon de malware du groupe Equation qui a été soumis à Virus Total en 2018.
Costin Raiu, directeur de la recherche mondiale et de l’équipe d’analyse de Kapsersky, a déclaré BipOrdinateur que les similitudes au niveau du code de Bvp47 correspondent également à un autre échantillon de sa collection de logiciels malveillants. C’est une bonne indication que l’utilisation de ce logiciel malveillant n’était pas répandue, comme c’est souvent le cas avec les outils de piratage créés par des acteurs de menace de haut niveau qui ne les déploient que dans des attaques très ciblées.
Maintenant que la porte dérobée Linux de Bvp47 a enfin été révélée, les chercheurs en sécurité vont probablement effectuer une analyse plus approfondie à ce sujet et nous pourrions voir plus de preuves qu’elle a également été utilisée dans d’autres attaques passées.
Via BleepingComputer