Puerta trasera para Linux vinculada a la NSA pasó desapercibida durante 10 años

Un informe publicado hoy profundiza en los aspectos técnicos de una puerta trasera para Linux identificada como Bvp47. La puerta trasera está vinculada a Equation Group, el actor de amenazas persistente avanzado vinculado a la Agencia de Seguridad Nacional (NSA) de Estados Unidos.

Bvp47 sobrevivió hasta hoy casi sin ser detectada. Esto a pesar de haber sido enviada a la base de datos de antivirus de Virus Total por primera vez hace casi una década. Específicamente, fue enviada a finales de 2013.

Hasta esta mañana, solo un motor antivirus en Virus Total detectó la muestra Bvp47. A medida que el informe se difundió en la comunidad de ciberseguridad, la detección comenzó a mejorar. La muestra fue marcada por seis motores en el momento de la redacción de este artículo.

Conexión con Equation Group

El equipo de Investigación de Seguridad Cibernética Avanzada de Pangu Lab, una empresa de seguridad cibernética china, dice que encontró el escurridizo malware en 2013, durante una “investigación forense de un host en un departamento doméstico clave”.

La muestra Bvp47 obtenida de la investigación forense resultó ser una puerta trasera avanzada para Linux. Esta tiene una función de control remoto protegida a través del algoritmo de cifrado asimétrico RSA, que requiere una clave privada para habilitarse.

Los investigadores encontraron la clave privada en las filtraciones publicadas por el grupo de hackers Shadow Brokers entre 2016 y 2017. Las filtraciones contenían herramientas de hacking y exploits de día cero utilizados por el equipo de ciberataques de la NSA, Equation Group.

Algunos componentes de las filtraciones de Shadow Brokers se integraron en el framework Bvp47, “dewdrop” y “solutionchar_agents”. Esto indica que el implante cubría los sistemas operativos basados ​​en Unix, como las principales distribuciones de Linux, Juniper’s JunOS, FreeBSD y Solaris.

Además de que Pangu Lab atribuyó el malware Bvp47 a Equation Group, el análisis automatizado de la puerta trasera también muestra similitudes con otra muestra del mismo actor.

Threat Attribution Engine (KTAE) de Kaspersky mostró que 34 de 483 cadenas coinciden con las de otra muestra relacionada con Equation para sistemas Solaris SPARC. Esta tenía una similitud del 30 % con otro malware de Equation enviado a Virus Total en 2018 y publicado por el investigador de inteligencia de amenazas. Deresz el 24 de enero de 2022.

Costin Raiu, director del equipo de investigación y análisis global de Kaspersky afirmó que las similitudes a nivel de código de Bvp47 coinciden con una sola muestra en la colección actual de malware de la compañía.

Alcance de la puerta trasera

Esto indica que el malware no se usó de forma generalizada, como suele ocurrir con las herramientas de hacking de los hackers de alto nivel. Estos hackers generalmente las utilizan en ataques altamente dirigidos.

En el caso de la puerta trasera Bvp47 Linux, los investigadores de Pangu Lab dicen que se usó en objetivos en los sectores de telecomunicaciones, militar, educación superior, economía y ciencia.

Los investigadores afirman que el malware afectó a más de 287 organizaciones en 45 países y pasó desapercibido durante más de 10 años.

Etapas de ataque

El análisis de incidentes de Pangu Lab involucró tres servidores. El primero es el objetivo de un ataque externo y otras dos son máquinas internas: un servidor de correo electrónico y un servidor empresarial.

Según los investigadores, el atacante estableció una conexión entre el servidor externo y el servidor de correo electrónico a través de un paquete TCP SYN con un payload de 264 bytes.

“Casi al mismo tiempo, el servidor [de correo electrónico] se conecta al servicio SMB del servidor [comercial] y realiza algunas operaciones confidenciales, como iniciar sesión en el servidor [empresarial] con una cuenta de administrador. El servidor intenta abrir servicios de la terminal, listar directorios, y ejecutar scripts de Powershell a través de tareas programadas”

– Pangu Lab

Luego, el servidor empresarial se conecta a la máquina de correo electrónico para descargar archivos adicionales, “incluido el script de Powershell y los datos cifrados de la segunda etapa”.

Después, el atacante inicia un servidor HTTP en una de las dos máquinas comprometidas, sirviendo dos archivos HTML a la otra. Uno de los archivos es un script de PowerShell codificado en base64 que descarga “index.htm”, que contiene datos cifrados asimétricamente.

Finalmente, la puerta trasera utiliza una conexión entre las dos máquinas internas para comunicar datos cifrados a través de “su propio protocolo”. 

Resumen del funcionamiento

Los investigadores pudieron restaurar la comunicación entre los servidores y la resumieron en los siguientes pasos. Es importante recalcar que la máquina A es el sistema externo y V1/V2 son el servidor de correo electrónico y empresarial, respectivamente:

1. La máquina A se conecta al puerto 80 del servidor V1 para enviar una solicitud e iniciar el programa de puerta trasera en el servidor V1
2. El servidor V1 conecta de forma inversa el puerto de gama alta de la máquina A para establecer una canalización de datos
3. Después, el servidor V2 se conecta al servicio web de puerta trasera abierto en el servidor V1 y obtiene la ejecución de PowerShell del servidor V1
4. El servidor V1 se conecta al puerto de servicio SMB del servidor V2 para realizar operaciones de comando
5. El servidor V2 establece una conexión con el servidor V1 en el puerto de gama alta y utiliza su propio protocolo de cifrado para el intercambio de datos.
6. Finalmente, el servidor V1 sincroniza la interacción de datos con la máquina A.  Además, el servidor V1 actúa como una transferencia de datos entre la máquina A y el servidor V2

En referencia a la tecnología de comunicación anterior entre los tres servidores, los investigadores fueron muy enfáticos. Ellos concluyeron que la puerta trasera es la creación de “una organización con fuertes capacidades técnicas”.