Des chercheurs du laboratoire chinois Pangu ont r\u00e9v\u00e9l\u00e9 les d\u00e9tails d’une porte d\u00e9rob\u00e9e “de premier plan” utilis\u00e9e par le Groupe d’\u00e9quations<\/b>une menace persistante avanc\u00e9e (APT) ayant des liens pr\u00e9sum\u00e9s avec l’unit\u00e9 de collecte de renseignements sur la cyberguerre de la National Security Agency (NSA) des \u00c9tats-Unis.<\/p>\n
Surnomm\u00e9 “Bvp47<\/a>” en raison de nombreuses r\u00e9f\u00e9rences \u00e0 la cha\u00eene ” Bvp ” et \u00e0 la valeur num\u00e9rique ” 0x47 ” utilis\u00e9e dans l’algorithme de chiffrement, la porte d\u00e9rob\u00e9e a \u00e9t\u00e9 extraite des syst\u00e8mes Linux ” lors d’une enqu\u00eate m\u00e9dico-l\u00e9gale approfondie sur un h\u00f4te dans un d\u00e9partement national cl\u00e9 ” en 2013 .<\/p>\n Le groupe de recherche sur la d\u00e9fense a nomm\u00e9 les attaques impliquant le d\u00e9ploiement de Bvp47 “Operation Telescreen”, avec l’implant pr\u00e9sentant un “comportement de canal secret avanc\u00e9 bas\u00e9 sur les paquets TCP SYN, l’obscurcissement du code, le masquage du syst\u00e8me et la conception d’autodestruction”.<\/p>\n Bvp47 aurait \u00e9t\u00e9 utilis\u00e9 sur plus de 287 cibles dans les secteurs universitaire, du d\u00e9veloppement \u00e9conomique, militaire, scientifique et des t\u00e9l\u00e9communications situ\u00e9s dans 45 pays, principalement en Chine, en Cor\u00e9e, au Japon, en Allemagne, en Espagne, en Inde et au Mexique, tous les tout en passant largement inaper\u00e7u pendant plus d’une d\u00e9cennie.<\/p>\n La porte d\u00e9rob\u00e9e insaisissable est \u00e9galement \u00e9quip\u00e9e d’une fonction de contr\u00f4le \u00e0 distance prot\u00e9g\u00e9e \u00e0 l’aide d’un algorithme de cryptage, activant ce qui n\u00e9cessite la cl\u00e9 priv\u00e9e de l’attaquant – ce que les chercheurs ont d\u00e9clar\u00e9 avoir trouv\u00e9 dans les fuites publi\u00e9es par le groupe de hackers Shadow Brokers en 2016.<\/p>\n Pangu Lab est un projet de recherche de \u00c9quipe Pangu<\/a>qui a une histoire de jailbreak des iPhones Apple remontant \u00e0 2014. Lors du concours de piratage de la Tianfu Cup l’ann\u00e9e derni\u00e8re, l’\u00e9quipe de piratage du chapeau blanc a d\u00e9montr\u00e9 plusieurs failles de s\u00e9curit\u00e9 qui permettaient de jailbreaker \u00e0 distance un iPhone 13 Pro enti\u00e8rement patch\u00e9 sous iOS 15.<\/p>\n Groupe d’\u00e9quations<\/a>d\u00e9sign\u00e9 comme le “cr\u00e9ateur de la couronne du cyberespionnage<\/a>” par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 russe Kaspersky, est le nom attribu\u00e9 \u00e0 un adversaire sophistiqu\u00e9 qui est actif depuis au moins 2001 et qui a utilis\u00e9 des exploits zero-day non divulgu\u00e9s auparavant pour “infecter les victimes, r\u00e9cup\u00e9rer des donn\u00e9es et masquer l’activit\u00e9 d’une mani\u00e8re remarquablement professionnelle”, certains d’entre eux qui ont ensuite \u00e9t\u00e9 int\u00e9gr\u00e9s \u00e0 Stuxnet.<\/p>\n Les attaques ont cibl\u00e9 une vari\u00e9t\u00e9 de secteurs dans pas moins de 42 pays, dont les gouvernements, les t\u00e9l\u00e9communications, l’a\u00e9rospatiale, l’\u00e9nergie, la recherche nucl\u00e9aire, le p\u00e9trole et le gaz, l’arm\u00e9e, la nanotechnologie, les militants et universitaires islamiques, les m\u00e9dias, les transports, les institutions financi\u00e8res et les entreprises en d\u00e9veloppement. technologies de cryptage.<\/p>\n On pense que le groupe est li\u00e9 aux op\u00e9rations d’acc\u00e8s sur mesure de la NSA (TAO<\/a>) unit\u00e9, tandis que les activit\u00e9s d’intrusion concernant un deuxi\u00e8me collectif connu sous le nom de Longhorn<\/a> (alias The Lamberts) ont \u00e9t\u00e9 attribu\u00e9s \u00e0 la Central Intelligence Agency (CIA) des \u00c9tats-Unis.<\/p>\n L’ensemble d’outils malveillants d’Equation Group est devenu public en 2016 lorsqu’un groupe se faisant appeler le Courtiers de l’ombre<\/a> a divulgu\u00e9 toute la tranche d’exploits utilis\u00e9s par l’\u00e9quipe de piratage d’\u00e9lite, avec Kaspersky d\u00e9couvrant similitudes au niveau du code<\/a> entre les fichiers vol\u00e9s et celui des \u00e9chantillons identifi\u00e9s comme utilis\u00e9s par l’auteur de la menace.<\/p>\n L’incident analys\u00e9 par Pangu Lab comprend deux serveurs compromis en interne, un serveur de messagerie et un serveur d’entreprise nomm\u00e9s respectivement V1 et V2, et un domaine externe (identifi\u00e9 comme A), arborant un nouveau m\u00e9canisme de communication bidirectionnelle pour exfiltrer les donn\u00e9es sensibles des syst\u00e8mes.<\/p>\n “Il y a une communication anormale entre l’h\u00f4te externe A et le serveur V1”, ont d\u00e9clar\u00e9 les chercheurs. “Plus pr\u00e9cis\u00e9ment, A envoie d’abord un Paquet SYN<\/a> avec une charge utile de 264 octets au port 80 du serveur V1, puis le serveur V1 initie imm\u00e9diatement une connexion externe au port haut de gamme de la machine A et maintient une grande quantit\u00e9 de donn\u00e9es d’\u00e9change.<\/p>\n Simultan\u00e9ment, V1 se connecte \u00e0 V2 via le Service PME<\/a> pour effectuer un certain nombre d’op\u00e9rations, notamment la connexion \u00e0 ce dernier avec un compte administrateur, la tentative d’ouverture des services de terminal, l’\u00e9num\u00e9ration des r\u00e9pertoires et l’ex\u00e9cution de scripts PowerShell via des t\u00e2ches planifi\u00e9es.<\/p>\n La V2, pour sa part, se connecte \u00e9galement \u00e0 la V1 pour r\u00e9cup\u00e9rer un script PowerShell et une charge utile de seconde \u00e9tape crypt\u00e9e, dont les r\u00e9sultats d’ex\u00e9cution crypt\u00e9s sont renvoy\u00e9s \u00e0 la V1, qui, selon les chercheurs, “agit comme un transfert de donn\u00e9es entre le Une machine et le serveur V2.”<\/p>\n La porte d\u00e9rob\u00e9e Bvp47 install\u00e9e sur les serveurs se compose de deux parties, un chargeur qui est responsable du d\u00e9codage et du chargement de la charge utile r\u00e9elle en m\u00e9moire. “Bvp47 vit g\u00e9n\u00e9ralement dans le syst\u00e8me d’exploitation Linux dans la zone d\u00e9militaris\u00e9e qui communique avec Internet”, ont d\u00e9clar\u00e9 les chercheurs. “Il assume principalement le r\u00f4le central de communication du pont de contr\u00f4le dans l’attaque globale.”<\/p>\n L’attribution de Pangu Lab \u00e0 Equation Group d\u00e9coule de chevauchements avec des exploits contenus dans un fichier d’archive crypt\u00e9 GPG publi\u00e9 par les Shadow Brokers – “eqgrp-auction-file.tar.xz.gpg<\/a>” – dans le cadre d’un \u00e9chou\u00e9<\/a> ench\u00e8res<\/a> des cyberarmes en ao\u00fbt 2016.<\/p>\n “Lors de l’analyse du fichier ‘eqgrp-auction-file.tar.xz.gpg’, il a \u00e9t\u00e9 constat\u00e9 que Bvp47 et les outils d’attaque du package compress\u00e9 \u00e9taient techniquement d\u00e9terministes, comprenant principalement des ‘dewdrops’, https:\/\/thehackernews .com\/2022\/02\/”suctionchar_agents,”https:\/\/thehackernews.com\/2022\/02\/”tipoffs,”https:\/\/thehackernews.com\/2022\/02\/”StoicSurgeon,”https:\/\/thehackernews.com \/2022\/02\/”incision” et d’autres r\u00e9pertoires”, ont expliqu\u00e9 les chercheurs.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.png\")
<\/a><\/div>\nLes fuites de Shadow Brokers<\/h3>\n
Bvp47 comme porte d\u00e9rob\u00e9e secr\u00e8te<\/h3>\n
![\"Outil](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645759610_988_Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.jpeg\" "\\"Outil")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\nLiens vers le groupe d’\u00e9quations<\/h3>\n
![\"Outil](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645759611_181_Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.jpeg\" "\\"Outil")
<\/div>\n