Forscherinnen und Forscher des chinesischen Pangu Labs haben Details zu einer „Top-Tier“-Backdoor veröffentlicht, die von der Equation Group, einer hochentwickelten, anhaltenden Bedrohung (Advanced Persistent Threat, APT) mit angeblichen Verbindungen zur Cyberkriegsabteilung der Nationalen Sicherheitsbehörde der USA (NSA), genutzt wird.
Die Backdoor, die aufgrund zahlreicher Verweise auf die Zeichenfolge „Bvp“ und den im Verschlüsselungsalgorithmus verwendeten Zahlenwert „0x47“ den Namen „Bvp47“ trägt, wurde 2013 „während einer eingehenden forensischen Untersuchung eines Rechners in einer wichtigen nationalen Behörde“ aus Linux-Systemen extrahiert.
Pangu Lab gab den Angriffen, bei denen Bvp47 zum Einsatz kam, den Codenamen „Operation Telescreen“. Das Implantat zeichnete sich durch ein „fortschrittliches verdecktes Kanalverhalten auf der Grundlage von TCP SYN-Paketen, Codeverschleierung, Systemverstecken und Selbstzerstörungsdesign“ aus.
Die Shadow Brokers-Leaks
Die Equation Group, die von der russischen Sicherheitsfirma Kaspersky als „Krone der Cyberspionage“ bezeichnet wird, ist der Name eines ausgeklügelten Gegners, der seit mindestens 2001 aktiv ist und zuvor nicht veröffentlichte Zero-Day-Exploits verwendet hat, um „Opfer zu infizieren, Daten abzurufen und Aktivitäten auf äußerst professionelle Weise zu verbergen“, von denen einige später in Stuxnet eingebaut wurden.
Die Angriffe richteten sich gegen eine Vielzahl von Branchen in nicht weniger als 42 Ländern, darunter Regierungen, Telekommunikation, Luft- und Raumfahrt, Energie, Kernforschung, Öl und Gas, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Medien, Transportwesen, Finanzinstitute und Unternehmen, die Verschlüsselungstechnologien entwickeln.
Es wird vermutet, dass die Gruppe mit der NSA-Einheit Tailored Access Operations (TAO) in Verbindung steht, während die Aktivitäten eines zweiten Kollektivs mit dem Namen Longhorn (auch bekannt als The Lamberts) dem US-Geheimdienst CIA zugeschrieben werden.
Das Malware-Toolset der Equation Group wurde 2016 öffentlich bekannt, als eine Gruppe, die sich selbst Shadow Brokers nennt, die gesamte Tranche der von dem Elite-Hacking-Team verwendeten Exploits veröffentlichte. Kaspersky entdeckte Ähnlichkeiten zwischen den gestohlenen Dateien und den von den Bedrohungsakteuren verwendeten Beispielen.
Bvp47 als verdeckte Hintertür
Der von Pangu Lab analysierte Vorfall umfasst zwei intern kompromittierte Server, einen E-Mail- und einen Unternehmensserver mit den Namen V1 bzw. V2, sowie eine externe Domain (identifiziert als A), die mit einem neuartigen Zwei-Wege-Kommunikationsmechanismus ausgestattet ist, um sensible Daten von den Systemen zu exfiltrieren.
„Zwischen dem externen Host A und dem Server V1 findet eine anormale Kommunikation statt“, so die Forscher. „A sendet zunächst ein SYN-Paket mit einer Nutzlast von 264 Byte an Port 80 des V1-Servers, woraufhin der V1-Server sofort eine externe Verbindung zum High-End-Port des A-Rechners aufbaut und eine große Menge an Austauschdaten speichert.
Gleichzeitig stellt V1 über den SMB-Dienst eine Verbindung zu V2 her, um eine Reihe von Vorgängen auszuführen, z. B. sich mit einem Administratorkonto bei V2 anzumelden, zu versuchen, Terminaldienste zu öffnen, Verzeichnisse zu durchforsten und PowerShell-Skripte über geplante Aufgaben auszuführen.
V2 stellt seinerseits eine Verbindung zu V1 her, um ein PowerShell-Skript und eine verschlüsselte Nutzlast der zweiten Stufe abzurufen, deren verschlüsselte Ausführungsergebnisse an V1 zurückgeschickt werden, das laut den Forschern „als Datenübertragung zwischen dem A-Rechner und dem V2-Server fungiert“.
Die auf den Servern installierte Bvp47-Backdoor besteht aus zwei Teilen, einem Loader, der für die Entschlüsselung und das Laden der eigentlichen Nutzlast in den Speicher zuständig ist. „Bvp47 lebt im Allgemeinen im Linux-Betriebssystem in der demilitarisierten Zone, die mit dem Internet kommuniziert“, so die Forscher. „Er übernimmt vor allem die zentrale Rolle der Kontrollbrücken-Kommunikation im Gesamtangriff.
Links zur Equation Group
Die Zuordnung von Pangu Lab zur Equation Group ergibt sich aus Überschneidungen mit Exploits, die in einer GPG-verschlüsselten Archivdatei enthalten sind, die von den Shadow Brokers veröffentlicht wurde – „eqgrp-auction-file.tar.xz.gpg“ – als Teil einer gescheiterten Auktion der Cyberwaffen im August 2016.
„Bei der Analyse der ‚eqgrp-auction-file.tar.xz.gpg‘-Datei wurde festgestellt, dass Bvp47 und die Angriffswerkzeuge in dem komprimierten Paket technisch deterministisch waren, hauptsächlich einschließlich ‚dewdrops‘, ’suctionchar_agents‘, ‚tipoffs‘, ‚StoicSurgeon‘, ‚incision‘ und anderer Verzeichnisse“, erklärten die Forscher.
„Das Verzeichnis ‚tipoffs‘ enthält den privaten Schlüssel des asymmetrischen RSA-Algorithmus, der im verdeckten Kanal Bvp47 [für] die Befehlsausführung und andere Operationen verwendet wird. Auf dieser Grundlage kann bestätigt werden, dass Bvp47 zur Equation-Gruppe gehört.
Es ist bereits das zweite Mal innerhalb weniger Monate, dass von der Equation Group entwickelte, bisher nicht dokumentierte Malware ans Licht kommt. Ende Dezember 2021 enthüllte Check Point Research Details über ein Diagnoseprogramm namens „DoubleFeature“, das in Verbindung mit dem Malware-Framework DanderSpritz verwendet wird.
„Nach den Angriffswerkzeugen zu urteilen, die mit der Organisation in Verbindung stehen, einschließlich Bvp47, ist die Equation Group in der Tat eine erstklassige Hackergruppe“, so das Fazit der Forscher.
„Das Tool ist gut durchdacht, leistungsstark und weit verbreitet. Ihre Netzwerkangriffsfähigkeit, die mit 0day-Schwachstellen ausgestattet ist, war unaufhaltsam, und ihre Datenerfassung unter verdeckter Kontrolle war mit wenig Aufwand verbunden. Die Equation Group hat eine dominante Position in der Cyberspace-Konfrontation auf nationaler Ebene.“