Linux-бэкдору Bvp47 удалось почти десять лет избегать детектирования
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Linux-бэкдору Bvp47 удалось почти десять лет избегать детектирования

Екатерина Быстрова 24 Февраля 2022 - 09:27
...
Linux-бэкдору Bvp47 удалось почти десять лет избегать детектирования

Интересному бэкдору, работающему в операционных системах Linux и известному под именем Bvp47, удавалось десять лет уходить от детектирования. Этого вредоноса связывают с APT-группировкой Equation Group, действующей якобы в интересах Агентства национальной безопасности (АНБ) США.

Впервые Bvp47 попал на площадку VirusTotal в 2013 году, но, несмотря на это, оставался вне зоны детекта. Только вчера один из антивирусных движков, представленных на VirusTotal, выявил в бэкдоре что-то вредоносное.

 

Команда китайских специалистов в области кибербезопасности из компании Pangu Lab в ходе расследования одной из кибератак получила образец Bvp47. Согласно анализу, бэкдор заточен специально под работу в Linux и предоставляет операторам возможность удалённо управлять им. Кроме того, вредонос защищён ассиметричным алгоритмом шифрования RSA.

Ряд компонентов, фигурирующих в утечках Shadow Brokers — «dewdrop» и «solutionchar_agents» — были интегрированы в инфраструктуру Bvp47. Это свидетельствует о том, что бэкдор предназначен для работы в распространённых дистрибутивах Linux: JunOS, FreeBSD и Solaris.

Помимо этого, специалисты отмечают схожесть кода Bvp47 с другим семплом от Equation Group, предназначенным для систем Solaris SPARC. В «Лаборатории Касперского» заявили, что 34 из 483 строк совпадают между этими образцами.

В отчёте Pangu Lab исследователи подчёркивают, что бэкдор создала «организация, располагающая серьёзными техническими возможностями». Эксперты отметили шесть шагов атаки операторов Bvp47:

  1. Внешняя система (A) подключается к порту 80 почтового сервера (V1) для отправки запроса и запуске бэкдора.
  2. V1 подключается подключается к порту A, чтобы организовать так называемый конвейер данных.
  3. V2 (корпоративный сервер) подключается к веб-сервису, запущенному на V1 и получает команды PowerShell.
  4. V1 подключается к порту SMB для выполнения заданных операций.
  5. V2 устанавливает соединение с V1 и использует собственный протокол шифрования для обмена данными.
  6. V1 синхронизирует данные с A, при этом выступая в качестве передатчика информации.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Операторов обяжут использовать только российские сим-карты
Яков Шпунт 01 Декабря 2025 - 12:34
Соответствие законодательству РФ КорпорацииГосударство Соответствие требованиям регуляторов
Операторов обяжут использовать только российские сим-карты

С сентября 2026 года российским операторам связи запретят закупать сим-карты зарубежного производства. Согласно проекту приказа Минцифры, компании смогут использовать только те карты, которые произведены в России и работают на отечественном программном обеспечении и криптографии.

Проект приказа опубликован на портале проектов нормативных актов. Документ устанавливает технические требования к сим-картам, включая использование российских криптографических протоколов, применяемых для аутентификации абонентов.

«Принятие приказа создаст условия для разработки и производства отечественных идентификационных модулей», — заявили в Минцифры в комментарии «Коммерсанту».

В ведомстве также уточнили, что оборот сим-карт, закупленных до 1 сентября 2026 года, ограничиваться не будет — ими можно пользоваться до полного исчерпания складских запасов.

Однако для сим-карт, используемых в сетях 5G, сделано исключение. По требованию ФСБ, аутентификация в 5G должна осуществляться с помощью российской криптографии, а ключи должны генерироваться организацией, сертифицированной ФСБ. В Минцифры напомнили, что иностранные компании получить такой сертификат не м

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России зафиксирован четырёхкратный рост атак с подменой DLL
Новость
В России зафиксирован четырёхкратный рост атак с подменой DL...
В России представили прототип шлюза безопасности на отечественной платформе
Новость
В России представили прототип шлюза безопасности на отечеств...
Runtime Radar: на GitHub появился код инструмента для защиты контейнеров
Новость
Runtime Radar: на GitHub появился код инструмента для защиты...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.