درب‌پشتی NSA؛ ایران در فهرست اهداف

شرکت Pangu جزییات یک درب‌پشتی پیشرفته، اما قدیمی منتسب به NSA را منتشر کرده که نزدیک به یک‌دهه تقریبا توسط هیچ ضدویروسی قابل شناسایی نبوده است.

این شرکت چینی، درب‌پشتی (Backdoor) مذکور را Bvp47 نامگذاری کرده است.

Bleeping Computer به استناد سایت VirusTotal اعلام کرده که تا ساعت 16:53 چهارشنبه، 4 اسفند 1400، تنها یک ضدویروس قادر به شناسایی Bvp47 بوده. اما اکنون با انتشار عمومی گزارش Pangu و رسانه‌ای شدن آن تعداد ضدویروس‌های با توانایی شناسایی این درب‌پشتی در حال افزایش است. به‌نحوی که در زمان نگارش این مطلب در بلاگ شرکت رامونا پردازش نگار، تعداد آنها به 23 مورد (از مجموع 60 ضدویروس) رسیده است.

این در حالی است که فایل Bvp47، اولین بار در ۲۸ آذر ۱۳۹۲ به VirusTotal ارسال شده بود.

به گفته Pangu، کارشناسان این شرکت در سال 2013 در جریان بررسی آلودگی بر روی یک دستگاه در واحدی به گفته آن کلیدی فایل این درب‌پشتی را کشف کردند. Bvp47 یک درب‌پشتی پشرفته تحت Linux توصیف شده که با ویژگی‌هایی همچون کانال ارتباطی مبتنی بر TCP SYN و کد مبهم‌سازی‌شده (Obfuscated) و قابلیت خودکشی (Self-destruction) خود را از معرض دید محصولات امنیتی مخفی نگاه می‌داشته است. همچنین Bvp47 قادر به فراهم کردن دسترسی از راه دور مهاجمان به دستگاه قربانی بوده است. اما فعال شدن آن مستلزم وجود یک کلید رمزنگاری خصوصی بوده که به دلیل در اختیار نداشتن آن در آن زمان، محققان Pangu موفق به کالبدشکافی دقیق آن نمی‌شوند.

در سال‌های 2016 و 2017 که گروه معروف به Shadow Brokers اقدام به انتشار برخی فایل‌های سرقت شده از گروه Equation Group کرد کارشناسان Pangu در میان فایل‌های افشا شده به کلید خصوصی فعالسازی دسترسی از راه دور Bvp47 دست می‌یابند.

بسیاری منابع، Equation Group را یک گروه حرفه‌ای جاسوسی سایبری، وابسته به آژانس امنیت ملی ایالات متحده آمریکا (National Security Agency – به اختصار NSA) می‌دانند.

به دلیل وجود کلید خصوصی Bvp47 در میان فایل‌های افشا شده Equation Group و برخی شواهد دیگر محققان Pangu معتقدند که این درب‌پشتی از ابزارهای جاسوسی NSA بوده است که طی یک‌دهه اخیر 287 سازمان در 45 کشور را هدف قرار داده بوده است.

در فهرست اهداف، دامنه (Domain) متعلق به یک پژوهشگاه ایرانی نیز به چشم می‌خورد.

Pangu از کارزارهای Bvp47 با اسم رمز Operation Telescreen یاد کرده است. Telescreen از دستگاهی با همین نام در رمان ۱۹۸۴، اثر جورج اورول برگرفته شده است. در رمان مذکور، Telescreen دستگاهی بود که همانند یک دوربین تمام اعمال شهروندان را تحت نظر داشت و حکمرانان از طریق آن از مردم جاسوسی می‌کردند.

گزارش Pangu در اینجا قابل دریافت است.