バックドア Bvp47 が解明された:NSA/Equation Group との関連性を疑う中国

Chinese Researchers Detail Linux Backdoor of NSA-Linked Equation Group

2022/02/23 SecurityWeek — 米国のサイバー・セキュリティ企業が、中国政府に関連する脅威者のツールや活動を詳述する、レポートを発表することは珍しくないが、今回は中国の研究者グループが、米国政府に関連するマルウェアを詳述したレポートを発表した。Pangu Lab は、iPhone のジェイルブレイクで有名な、Pangu Team の研究プロジェクトのことである。彼らは、昨年の中国の主要ハッキング・コンテストで、iOS 悪用の解明により、$ 300,000 を獲得した。

今週のレポートで、この研究者たちが詳述したバックドアは Bvp47 と呼ばれており、中国の政府組織に影響を与えるインシデントの調査中だった、2013年に発見されている。 その当時、研究者たちは、それがトップレベルの APT バックドアだと判断したが、さらなる調査には秘密鍵が必要であり、それを入手することができまずにいた。

このマルウェアは、ソースコードで散見される Bvp という文字列と、暗号化アルゴリズムに使用される 0x47 という値から、Bvp47 と名付けられた。2016年から2017年にかけて、The Shadow Brokers と名乗る謎の集団が、NSA と連携する Equation Group から盗んだとされる膨大なデータを流出させたが、その中には多くのハッキン・グツールやエクスプロイトが含まれていた。それらのリークの中で、Pangu Lab の研究者は、Bvp47 バックドアを解析するために必要な秘密鍵を発見した。

研究者たちによると、このマルウェアは Operation Telescreen と名付けられたキャンペーンの一環として使用されており、10年以上にわたって45カ国の約300の企業を標的にしていたようだ。このバックドアは、北米/欧州/アジアの、通信/教育/軍事/科学/経済などの組織に対して使用されたと、Pangu Lab は述べている。

NSA Equation Group BVP47 Linux backdoor


Bvp47 は、侵害したデバイスを、運用者が長期的に制御できるように設計されており、ルートキット/セキュリティ検出バイパス/アンチフォレンジック、自己削除などの機能が含まれている。Pangu Lab は、「このツールは、よく設計され、強力で、適応範囲が広い。ゼロデイが脆弱性を利用したネットワーク攻撃は止めようがなく、秘密裏にデータを取得することも容易である」と述べている。

Pangu Lab のレポートは、Bvp47 の技術的な説明に加えて、このマルウェアと Equation Group の関連性、そして NSA との関連性を強調しようとしている。

いつもとは、反対方向の流れですね。このブログでも、中国の APT (Advanced Persistent Threat) については何度も取り上げていますが、これは NSA に関連するという切り口で、中国の Pangu Lab から問題が提起されています。よろしければ、中国+APT で検索も、ご利用ください。

%d bloggers like this: