ABD Ulusal Güvenlik Ajansı (NSA) ile bağları olan kötü şöhretli Denklem Grubu tarafından yaratıldığına inanılan daha önce tespit edilmemiş bir Linux arka kapısıyla ilgili yeni ayrıntılar ortaya çıktı.
göre yeni rapor Siber güvenlik firması Pangu’dan, Gelişmiş Siber Güvenlik Araştırma ekibinden güvenlik araştırmacıları, kötü amaçlı yazılımı ilk olarak 2013’te “önemli bir yerel departmandaki bir ana bilgisayar hakkında adli soruşturma” yürütürken arka kapının arkasında buldu. O zaman, örnekteki en yaygın dizenin “Bvp” olması ve 0x47’nin şifreleme algoritmasında kullanılan sayısal değer olması nedeniyle ekip kötü amaçlı yazılımı Bvp47 olarak adlandırmaya karar verdi.
Bvp47’nin neredeyse on yıl önce Virus Total’in antivirüs veritabanına sunulmasına rağmen, yalnızca bir antivirüs motorunda göründü. Pangu’nun raporunun yayınlanmasıyla işler değişti ve şu anda altı antivirüs motoru tarafından işaretlendi. BleeBilgisayar.
Bvp47 kötü amaçlı yazılımının tespit edilmediği neredeyse on yıl boyunca, telekomünikasyon, askeri, yüksek eğitim, finans ve bilim sektörlerindeki hedeflere odaklanarak 45 ülkede 287’den fazla kuruluşu vurmak için kullanıldı.
Denklem Grubuna Bağlar
2013 yılında Pangu’nun Gelişmiş Siber Güvenlik Araştırma ekibinden alınan Bvp47 örneğinin, RSA asimetrik şifreleme algoritması kullanılarak korunan bir uzaktan kontrol işlevi de içeren gelişmiş bir Linux arka kapısı olduğu ortaya çıktı.
Bu nedenle, etkinleştirmek için özel bir anahtar gerektirir ve bu özel anahtar, Shadow Brokers hack grubu tarafından 2016-2017 yılları arasında yayınlanan bir dizi sızıntıda bulundu. Sızıntıların kendileri, NSA’nın Özel Erişim Operasyonları birimiyle bağları olduğundan şüphelenilen Denklem Grubu tarafından kullanılan bilgisayar korsanlığı araçlarını ve sıfır gün açıklarını da içeriyordu.
Bu sızıntılarda bulunan “dewdrop” ve “solutionchar_agents” gibi bileşenlerden bazıları, arka kapısının ana Linux dağıtımları JunOS, FreeBSD ve Solaris gibi Unix tabanlı işletim sistemlerinde kullanılabileceğini gösteren Bvp47 çerçevesine entegre edildi.
Kaspersky’nin Tehdit İlişkilendirme Motoru (KTAE) tarafından arka kapının otomatik analizine dayalı olarak, Bvp47’de bulunan 483 dizeden 34’ü, Solaris SPARC sistemleri için Denklem Grubu ile ilgili başka bir örnektekilerle eşleşir. Ayrıca 2018’de Virus Total’e gönderilen Equation Group’tan başka bir kötü amaçlı yazılım örneğiyle yüzde 30 benzerlik vardı.
Costin Raiu, Kapsersky’deki küresel araştırma ve analiz ekibinin yöneticisine şunları söyledi: BleeBilgisayar Bvp47’nin kod düzeyindeki benzerliklerinin, kötü amaçlı yazılım koleksiyonundaki diğer bir örnekle de eşleştiğini. Bu, bu kötü amaçlı yazılımın kullanımının, yalnızca yüksek düzeyde hedeflenmiş saldırılarda kullanan üst düzey tehdit aktörleri tarafından oluşturulan bilgisayar korsanlığı araçlarında olduğu gibi yaygın olmadığının iyi bir göstergesidir.
Bvp47’nin Linux arka kapısı nihayet gün ışığına çıktığına göre, güvenlik araştırmacıları muhtemelen bunun üzerinde daha fazla analiz yapacak ve bunun geçmişteki diğer saldırılarda da kullanıldığına dair daha fazla kanıt görebiliyoruz.
Üzerinden BleeBilgisayar
