一般相対性osugi3yのブログ

14年勤めた企業をやめました。映画「時の行路」尾道市実行委員

Bvp47 - 米国NSA方程式グループの最上位バックドア〜シン・すべてがNになる〜

・3分で読める

完全なレポートダウンロード:Bvp47テクニカルペーパー(PDF)

 2013年のある月、主要な国内部門のホストの詳細なフォレンジック調査中に、パングーラボの研究者は、TCP SYNパケット、コード難読化、システム隠蔽、および自己破壊設計に基づく高度な秘密チャネル動作を使用したLinuxプラットフォーム上の高度なバックドアのセットを抽出しました。完全に復号化できない場合、このバックドアは正常に実行するためにホストにバインドされたチェックコードが必要であることがわかります。その後、研究者はチェックコードを解読し、バックドアを正常に実行しました。いくつかの行動機能から判断すると、これは最上位のAPTバックドアですが、さらなる調査では、リモートコントロール機能をアクティブにするために攻撃者の非対称暗号化秘密鍵が必要です。サンプルの最も一般的な文字列「Bvp」と暗号化アルゴリズムで使用される数値0x47に基づいて、チームは当時対応する悪意のあるコードを「Bvp47」と命名しました。

 2016年と2017年、「シャドウブローカー」は、「方程式グループ」が使用していると主張するハッキングファイルの2つのバッチを公開しました。これらのハッキングファイルでは、研究者がPangu Labを形成し、バックドアBvp47をリモートでトリガーするために使用できる秘密鍵を見つけました。したがって、Bvp47は「方程式グループ」に属するハッカーツールであると結論付けることができます。

 さらなる研究を通じて、研究者は、「シャドウブローカー」によって開示された複数の手順と攻撃操作マニュアルは、2013年の「プリズム」事件でCIAアナリストスノーデンによって公開されたNSAネットワーク攻撃プラットフォーム操作マニュアル[参照3と4]で使用される唯一の識別子と完全に一致していることを発見しました。

 「許可なく国防情報を広げ、故意に機密情報を広める」という3つの容疑で米国政府のスノーデンの起訴を考慮して、「シャドウブローカー」によって公開された文書は確かにNSAであり、「方程式グループ」がNSAに属していることを完全に証明できる、つまり、Bvp47はNSAのトップティアバックドアであると判断できます。「シャドウブローカー」のファイルに加えて、被害者の範囲はロシア、日本、スペイン、ドイツ、イタリアなど45カ国で287のターゲットを超えていることを明らかにしました。その攻撃は10年以上続いた。さらに、日本で1人の犠牲者がさらなる攻撃のためのジャンプサーバーとして使用されています。

 パングーラボには、いくつかのBvp47インシデントの「Operation Telescreen」という名前のコードがあります。テレスクリーンは、英国の作家ジョージ・オーウェルが小説「1984」で想像したデバイスです。テレスクリーンを展開する個人または組織をリモートで監視するために使用でき、「思考警察」は任意のテレスクリーンの情報と動作を任意に監視できます。

 方程式グループは世界をリードするサイバー攻撃グループであり、一般的に米国の国家安全保障局と提携していると考えられています。Bvp47を含む組織に関連する攻撃ツールから判断すると、方程式グループは確かに一流のハッキンググループです。このツールはうまく設計され、強力で、広く適応しています。0日間の脆弱性を備えたネットワーク攻撃機能は止められず、秘密管理下にあるデータ取得はほとんど労力がなかった。方程式グループは、国家レベルのサイバースペースの対立において支配的な立場にあります