FortiGuard Labs è a conoscenza di un rapporto di Pangu Lab secondo cui un nuovo malware backdoor Linux che secondo quanto riferito appartiene al gruppo Equation è stato utilizzato per compromettere potenzialmente più di 200 organizzazioni in oltre 40 paesi in tutto il mondo. Il gruppo Equation è considerato uno degli attori di minacce più qualificati, che alcuni ipotizzano abbiano stretti legami con la National Security Agency (NSA). L’attore della minaccia sarebbe stato anche legato al malware Stuxnet che è stato utilizzato nel 2010 nell’attacco informatico a una struttura di centrifughe nucleari in Iran. il gruppo di equazioni. Secondo il rapporto e le informazioni disponibili nei documenti che presumibilmente sono trapelati dal gruppo Equation, oltre 200 organizzazioni sparse in più di 40 paesi potrebbero essere state infettate dal malware Bvp47. Il file Bvp47 richiamato nel rapporto è stato inviato per la prima volta a VirusTotal in fine 2013, il che indica che Bvp47 è stato utilizzato e non è stato scoperto per quasi un decennio. Come è stata stabilita la connessione tra il malware Bvp47 e l’Equation Group? Pangu Lab ha concluso che Bvp47 appartiene al gruppo Equation perché una delle cartelle incluse nei documenti trapelata dagli Shadow Brokers nel 2017 conteneva una chiave privata RSA richiesta da Bvp47 per l’esecuzione dei comandi e altre operazioni. Cosa sono gli Shadow Brokers? The Shadow Brokers è un attore di minacce che ha affermato di aver rubato informazioni altamente classificate dal gruppo Equation nel 2016 Le informazioni rubate includono exploit zero-day, manuali operativi e descrizione degli strumenti utilizzati dal gruppo Equation. Gli Shadow Brokers hanno quindi tentato di vendere le informazioni al miglior offerente. Dopo che nessuno ha acquistato le informazioni, l’attore della minaccia ha rilasciato le informazioni al pubblico dopo che il tentativo di asta è fallito. Uno degli exploit più famosi inclusi nei documenti trapelati è EternalBlue. Entro poche settimane dalla fuga di notizie, EternalBlue è stato incorporato nel ransomware Wannacry che ha causato il panico globale nel 2017. Quali sono le caratteristiche di Bvp47? Bvp è una backdoor Linux che esegue azioni alla ricezione di comandi dai server Command and Control (C2). Perché il Il framework Bvp47 è incorporato con componenti come “dewdrops” e “solutionchar_agents” inclusi nelle perdite di Shadow Brokers, la backdoor è per le distribuzioni Linux tradizionali, FreeBSD, Solaris e JunOS,.Bvp47 esegue anche vari controlli dell’ambiente. Se i requisiti non sono soddisfatti, il malware si elimina da solo. Qual è lo stato della copertura? FortiGuard Labs fornisce la seguente copertura AV contro Bvp47:ELF/Agent.16DC!tr
