Investigadores del Laboratorio Pangu de China han revelado detalles de una puerta trasera de “primer nivel” utilizada por el Grupo de ecuaciones<\/b>una amenaza persistente avanzada (APT) con presuntos v\u00ednculos con la unidad de recopilaci\u00f3n de inteligencia de guerra cibern\u00e9tica de la Agencia de Seguridad Nacional (NSA) de EE. UU.<\/p>\n
Doblado “bvp47<\/a>Debido a las numerosas referencias a la cadena “Bvp” y al valor num\u00e9rico “0x47” utilizado en el algoritmo de cifrado, la puerta trasera se extrajo de los sistemas Linux “durante una investigaci\u00f3n forense en profundidad de un host en un departamento dom\u00e9stico clave” en 2013 .<\/p>\n El grupo de investigaci\u00f3n de defensa denomin\u00f3 a los ataques que involucran el despliegue de Bvp47 “Operation Telescreen”, con el implante que presenta un “comportamiento de canal encubierto avanzado basado en paquetes TCP SYN, ofuscaci\u00f3n de c\u00f3digo, ocultaci\u00f3n del sistema y dise\u00f1o de autodestrucci\u00f3n”.<\/p>\n Se dice que Bvp47 se ha utilizado en m\u00e1s de 287 objetivos en los sectores acad\u00e9mico, de desarrollo econ\u00f3mico, militar, cient\u00edfico y de telecomunicaciones ubicados en 45 pa\u00edses, principalmente en China, Corea, Jap\u00f3n, Alemania, Espa\u00f1a, India y M\u00e9xico, todos los mientras que pas\u00f3 desapercibido durante m\u00e1s de una d\u00e9cada.<\/p>\n La escurridiza puerta trasera tambi\u00e9n est\u00e1 equipada con una funci\u00f3n de control remoto que est\u00e1 protegida mediante un algoritmo de cifrado, cuya activaci\u00f3n requiere la clave privada del atacante, algo que los investigadores dijeron haber encontrado en las filtraciones publicadas por el grupo de hackers Shadow Brokers en 2016.<\/p>\n Pangu Lab es un proyecto de investigaci\u00f3n de Equipo Pangu<\/a>que tiene un historial de jailbreak en iPhones de Apple que se remonta a 2014. En el concurso de hacking de la Copa Tianfu del a\u00f1o pasado, el equipo de hackers de sombrero blanco demostr\u00f3 varias fallas de seguridad que permitieron liberar de forma remota un iPhone 13 Pro completamente parcheado con iOS 15.<\/p>\n Grupo de ecuaciones<\/a>designado como el “creador de la corona del espionaje cibern\u00e9tico<\/a>por la empresa de seguridad rusa Kaspersky, es el nombre asignado a un adversario sofisticado que ha estado activo desde al menos 2001 y ha utilizado exploits de d\u00eda cero no revelados previamente para “infectar a las v\u00edctimas, recuperar datos y ocultar la actividad de una manera extraordinariamente profesional”, algunos de que luego se incorporaron a Stuxnet.<\/p>\n Los ataques se han dirigido a una variedad de sectores en no menos de 42 pa\u00edses, incluidos gobiernos, telecomunicaciones, aeroespacial, energ\u00eda, investigaci\u00f3n nuclear, petr\u00f3leo y gas, militar, nanotecnolog\u00eda, activistas y acad\u00e9micos isl\u00e1micos, medios de comunicaci\u00f3n, transporte, instituciones financieras y empresas que desarrollan tecnolog\u00edas de cifrado.<\/p>\n Se cree que el grupo est\u00e1 vinculado a las operaciones de acceso personalizado de la NSA (TAO<\/a>) unidad, mientras que las actividades de intrusi\u00f3n pertenecientes a un segundo colectivo conocido como Longhorn<\/a> (tambi\u00e9n conocido como The Lamberts) se han atribuido a la Agencia Central de Inteligencia de EE. UU. (CIA).<\/p>\n El conjunto de herramientas de malware de Equation Group se hizo p\u00fablico en 2016 cuando un grupo que se autodenominaba Corredores de sombra<\/a> filtr\u00f3 el tramo completo de exploits utilizados por el equipo de pirater\u00eda de \u00e9lite, con Kaspersky descubriendo similitudes a nivel de c\u00f3digo<\/a> entre los archivos robados y el de las muestras identificadas como utilizadas por el actor de amenazas.<\/p>\n El incidente analizado por Pangu Lab comprende dos servidores comprometidos internamente, un correo electr\u00f3nico y un servidor empresarial llamados V1 y V2 respectivamente, y un dominio externo (identificado como A), que cuenta con un novedoso mecanismo de comunicaci\u00f3n bidireccional para filtrar datos confidenciales de los sistemas.<\/p>\n “Hay una comunicaci\u00f3n anormal entre el host externo A y el servidor V1”, dijeron los investigadores. “Espec\u00edficamente, A primero env\u00eda un paquete SYN<\/a> con una carga \u00fatil de 264 bytes al puerto 80 del servidor V1, y luego el servidor V1 inicia inmediatamente una conexi\u00f3n externa al puerto de gama alta de la m\u00e1quina A y mantiene una gran cantidad de datos de intercambio”.<\/p>\n Simult\u00e1neamente, V1 se conecta a V2 a trav\u00e9s del servicio de pymes<\/a> para realizar una serie de operaciones, incluido iniciar sesi\u00f3n en este \u00faltimo con una cuenta de administrador, intentar abrir servicios de terminal, enumerar directorios y ejecutar scripts de PowerShell a trav\u00e9s de tareas programadas.<\/p>\n V2, por su parte, tambi\u00e9n se conecta a V1 para recuperar un script de PowerShell y una carga \u00fatil cifrada de segunda etapa, cuyos resultados de ejecuci\u00f3n cifrados se env\u00edan de vuelta a V1, que, seg\u00fan los investigadores, “act\u00faa como una transferencia de datos entre el Una m\u00e1quina y el servidor V2”.<\/p>\n La puerta trasera Bvp47 instalada en los servidores consta de dos partes, un cargador que es responsable de decodificar y cargar la carga real en la memoria. “Bvp47 generalmente vive en el sistema operativo Linux en la zona desmilitarizada que se comunica con Internet”, dijeron los investigadores. “Asume principalmente el papel de comunicaci\u00f3n del puente de control central en el ataque general”.<\/p>\n La atribuci\u00f3n de Pangu Lab a Equation Group se deriva de la superposici\u00f3n de vulnerabilidades contenidas en un archivo cifrado con GPG publicado por Shadow Brokers: “eqgrp-auction-file.tar.xz.gpg<\/a>“- como parte de un ha fallado<\/a> subasta<\/a> de las ciberarmas en agosto de 2016.<\/p>\n “En el proceso de an\u00e1lisis del archivo ‘eqgrp-auction-file.tar.xz.gpg’, se descubri\u00f3 que Bvp47 y las herramientas de ataque en el paquete comprimido eran t\u00e9cnicamente deterministas, e inclu\u00edan principalmente ‘gotas de roc\u00edo’, ‘suctionchar_agents’, ‘ tipoffs’, ‘StoicSurgeon’, ‘incision’ y otros directorios”, explicaron los investigadores.<\/p>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Agencias-de-EE-UU-y-el-Reino-Unido-advierten-sobre.png\")
<\/a><\/div>\nLas filtraciones de Shadow Brokers<\/h3>\n
Bvp47 como puerta trasera encubierta<\/h3>\n
![\"Herramienta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645756153_446_Expertos-chinos-descubren-detalles-de-la-herramienta-de-pirateria-encubierta.jpeg\" "\\"Herramienta")
<\/div>\n<\/a><\/div>\n
Enlaces al grupo de ecuaciones<\/h3>\n
![\"Herramienta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645756153_604_Expertos-chinos-descubren-detalles-de-la-herramienta-de-pirateria-encubierta.jpeg\" "\\"Herramienta")
<\/div>\n