جزئیات جدیدی در مورد یک در پشتی لینوکس که قبلا شناسایی نشده بود، منتشر شده که گمان میرود توسط گروه بدنام Equation که با آژانس امنیت ملی ایالات متحده آمریکا یا همان NSA ارتباط دارد، ایجاد شده است.
طبق گزارش جدید منتشر شده از شرکت امنیت سایبری Pangu، محققات امنیتی تیم Advanced Cyber Security Research، برای اولین بار در سال 2013 و در زمان انجام یک سری از عملیاتهای کندوکاو در این سیستمعامل، در پشتی گفته شده را پیدا کردهاند. در آن زمان، تیم تصمی گرفت که این بدافزار را Bvp47 نامگذاری کند، زیرا رایجترین رشته Bvp و 0x47 مقدار عددی مورد استفاده در الگوریتم رمزگذاری آن بود.
با وجود این واقعیت که Bvp47 تقریبا یک دهه پیش به پایگاه داده آنتیویروسی Virus Total ارسال شده است، در حال حاضر تنها در یک موتور جستجو آنتیویروسی قرار دارد. این مورد در نهایت با انتشار گزارشی از سوی Pangu تغییر پیدا کرد و طبق گفتههای رسانه BleepingComputer، در حال حاضر شش موتور آنتیویروسی بزرگ دنیا آن را شناسایی میکنند.
در طول تقریبا 10 سالی که بدافزار Bvp47 شناسایی نشده، از آن برای هدف قرار دادن بیش از 287 سازمان در 45 کشور دنیا که اکثر آنها در بخشهای مهمی مانند مخابرات، نظامی، آموزش عالی، مالی و علوم تمرکز کرده بودند، استفاده شده است.
نمونه ویروس Bvp47 که تیم تحقیقات سایبری پیشرفته Pangu در سال 2013 کشف کرد، یک در پشتی پیشرفته لینوکس بود که در آن یک تابع کنترل از راه دور محافظت شده با استفاده از الگوریتم رمزگذاری نامتقارن RSA وجود داشت.
به این ترتیب ویروس گفته شده برای فعال شدن نیاز به یک کلید خصوصی داشت و این کلید خصوصی در یک سری از اطلاعات فاش شده توسط گروه هکری Shadow Brokers در طی سالهای 2016 تا 2017 پیدا شد. اطلاعات فاش شده همچنین حاوی ابزارهای هک و سو استفاده معروف به Zero Day یا همان روز صفر بود. بر اساس شواهد موجود، از این ابزارها گروه هکری Equation استفاده میکرد. همانطور که گفتیم، این گروه هکری در حال حاضر مظنون به همکاری با سازمان امنیت ملی آمریکا با همان NSA است.
برخی از اجزای این اطلاعات فاش شده مانند dewdrop و solutionchar_agents در چهارچوب Bvp47 ادغام شدهاند که این موضوع به ما نشان میدهد که این در پشتی میتواند در سیستمعاملهای مبتنیبر یونیکس مانند JunOS، FreeBSD و Solaris موجود باشد.
بر اساس آنالیزهای خودکار مربوط به در پشتی توسط Kaspersky Threat Attribution Engine یا همان KTAE، 34 تا از 483 رشته یافت شده در Bvp47 با نمونههای مربوط به گروه Equation برای سیستمهای Solaris SPARC مطابقت کامل دارد. همچنین تا 30 درصد شباهت با نمونه بدافزار دیگری از گروه Equation که در سال 2018 به شرکت Virus Total ارسال شده بود، وجود دارد.
کاستین رایو، مدیر تحقیقات جهانی و تیم تحلیل Kaspersky در گفتگویی با رسانه BleepingComputer گفت که شباهت کدهای Bvp47 با نمونههای دیگر در مجموعه بدافزاری آنها نیز مطابقت دارد. این میتواند نشانه خوبی باشد، چرا که به ما نشان میدهد استفاده از این بدافزار در سطح گسترده نبوده است. در واقع این حمله انجام شده کاملا مطابق با حملات سایبری بزرگی است که در سراسر دنیا اتفاق میافتد و هدفمند هستند.
در حال حاضر که در پشتی لینوکس Bvp47 آشکار شده است، محققان امنیتی احتمالا تجزیه و تحلیل بیشتری را روی آن انجام خواهند داد و میتوانید در آیندهای بسیار نزدیک شواهد بیشتری مبنیبر استفاده از ان در سایر حملاتی که در گذشته انجام شدهاند را پیدا کنیم.