美国NSA旗下方程式黑客组织针对全球的Bvp47电幕行动曝光

美国NSA旗下方程式黑客组织针对全球的Bvp47电幕行动曝光

2月23日,奇安信旗下盘古实验室发布报告,披露了美国网络攻击后门“电幕行动”(Bvp47)的完整技术细节和攻击组织关联,该后门是美国国安局NSA的黑客组织“方程式”制造并传播,用于入侵后窥视并控制受害组织网络,已入侵全球45个国家和地区。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,由于该后门程序多次引用字符串“ Bvp ”和加密算法中使用的数值“0x47”而被称为“Bvp47”,该后门是在2013年对国内关键部门的主机进行深入取证调查期间从Linux系统中提取到的。

中国专家揭示了公式组BVP47隐蔽黑客工具的细节

该后门还配备了远程控制功能,使用加密算法进行保护,激活需要攻击者的私钥,安全研究人员在 2016 年 Shadow Brokers 黑客组织发布的泄密文件中发现了这一点。

2016年,黑客组织影子经纪人(Shadow Brokers)宣称成功黑进了方程式黑客组织,并公布了大量方程式组织的黑客工具和数据。盘古实验室在这些文件中发现了唯一可以激活Bvp47顶级后门的非对称加密私钥,远程激活控制该后门后,断定Bvp47是属于方程式组织的黑客工具。

盘古实验室分析的事件包括两个内部受损服务器,一个电子邮件和一个企业服务器,分别命名为 V1 和 V2,以及一个外部域,该后门采用一种新颖的双向通信机制从系统中窃取敏感数据。

外部主机A和V1服务器之间存在异常通信,具体来说,A首先向V1服务器的80端口发送一个264字节有效载荷的SYN数据包,然后V1服务器立即对外向A机的高端端口发起连接,并保持大量的交换数据。

同时,V1 通过SMB 服务连接到 V2执行多项操作,包括使用管理员帐户登录后者、尝试打开终端服务、枚举目录以及通过计划任务执行 PowerShell 脚本。

美国NSA旗下方程式黑客组织针对全球的Bvp47电幕行动曝光

V2 本身也连接到 V1 以检索 PowerShell 脚本和加密的第二阶段有效负载,其加密的执行结果被发送回 V1,据安全研究人员称,充当数据传输一台机器和 V2 服务器。

安装在服务器上的 Bvp47 后门由两部分组成,加载程序负责解码并将实际有效负载加载到内存中。Bvp47 通常存在于与 Internet 通信的非军事区的 Linux 操作系统中,它主要承担整体攻击中的核心控制桥通信作用。

相较一般的APT攻击手段,“电幕行动”堪称顶级后门程序,具有极高的技术复杂度,从与方程式组织相关的攻击工具,包括 Bvp47 来看,方程式组织确实是一流的黑客组织。

Bvp47后门设计精良,功能强大,适应性广。其零日漏洞所配备的网络攻击能力势不可挡,隐蔽控制下的数据获取不费吹灰之力。这样的军事级网络对抗能力可以称为全球最强网络战争能力的代表。

获取《Bvp47技术报告(PDF)》请在极牛网公众号回复“方程式”即可获得下载链接。

 

美国NSA旗下方程式黑客组织针对全球的Bvp47电幕行动曝光

极牛网精选文章《美国NSA旗下方程式黑客组织针对全球的Bvp47电幕行动曝光》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18257.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年2月23日 下午2:11
下一篇 2022年2月25日 上午11:59

相关推荐

发表回复

登录后才能评论