En cierto mes de 2013, durante una investigación forense en profundidad de un host en un departamento doméstico clave, los investigadores de Pangu Lab extrajeron un conjunto de puertas traseras avanzadas en la plataforma Linux, que utilizaba un comportamiento de canal encubierto avanzado basado en paquetes TCP SYN. , ofuscación de código, ocultación del sistema y diseño de autodestrucción. En caso de que no se descifre por completo, se descubre además que esta puerta trasera necesita el código de verificación vinculado al host
|
etiquetas: puerta trasera , nsa , linux
edito: me extraña muchísimo que haya una puerta trasera puesta ahí a posta pero luego lo miro
#4 una backdoor por definición "está escondida". Aunque me causa duda el marco temporal de lo que se cuenta.
# whois pangulab.cn
Domain Name: pangulab.cn
ROID: 20220216s10001s46651810-cn
Domain Status: ok
Registrant: 北京奇安盘古实验室科技有限公司
Registrant Contact Email: its@qianxin.com
Sponsoring Registrar: 阿里云计算有限公司(万网)
Name Server: dns19.hichina.com
Name Server: dns20.hichina.com
Registration Time: 2022-02-16 12:38:24
Expiration Time: 2023-02-16 12:38:24
DNSSEC: unsigned
Dominio registrado en China hace 9 días
El dominio de contacto pertenece a qianxin que es una empresa creada en 2014 que se dedica a ciberseguridad.
Así que en 2013 el grupo detectó una vulnerabilidad pero no informa hasta 9 años después creando una página ad-hoc sin ninguna otra información.
Pues puede ser posible, pero es que no dice en que parte de la "Plataforma Linux" encontraron la vulnerabilidad, ni publica el código de la misma ni nada.
Yo voto negativa hasta que no hay más información.
También podría ser una especie de falsa bandera de un ATP de los propios chinos, que son muy activos en la guerra ciber.
Yo no lo despreciaría automáticamente. Puede que esté ahí, simplemente no sepamos de quién.
Probablemente deformación profesional, ya que en los tutoriales que escribo, los comandos tienen que ejecutarse como root...
Parece interesante pero, tal y como está redactado, no se puede confirmar ni refutar. ¿Cual es el voto equivalente a "afirmación no científica"?
www.pangulab.cn/files/The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation
Y hay afectados en España, varias universidades, La UPC, la UB
La noticia de Pangu Lab ha sido publicada y enlazada en medios como:
thehackernews
thehackernews.com/2022/02/chinese-experts-uncover-details-of.html
bleepingcomputer
www.bleepingcomputer.com/news/security/nsa-linked-bvp47-linux-backdoor
theregister
www.theregister.com/2022/02/23/chinese_nsa_linux/
securityweek
www.securityweek.com/chinese-researchers-detail-linux-backdoor-nsa-lin
aunque si es verdad que algunos afirman que el informe es "confuso" en algunos aspectos:
twitter.com/netresec/status/1496516551805128704
twitter.com/matthew_d_green/status/1496626753934090247
Si fuera una noticia de un grupo de hackers activo, con historia detrás o de un medio al menos veterano como unaaldia.hispasec.com/, pues le daría una oportunidad y la daría como válida mientras que otra fuente no me demostrara lo contrario.
Por ahora mantengo mi voto de sensacionalista, hasta que alguien aporte más información....
Página 4 habla del archivo /usr/bin/modload como responsable de la puerta trasera.
Que yo sepa, hay dos comandos en Linux para cargar módulos en el kernel, insmod y modprobe, no hay modload al menos en las distribuciones que uso a diario. Puede ser que exista ese comando en alguna distribución que yo no use o que estuviera allí haciéndose pasar por un binario que no despertase sospechas o bien puede ser que estuviesen usando una distribución BSD o Unix que sí que tienen ese comando, pero dado que hace un par de años que no compilo un kernel igual estoy equivocado, pero el documento no aclara demasiado.
forums.centos.org/viewtopic.php?t=64288
Hace muchos años que no uso Red Hat ni otras distribuciones con paquetería RPM, y no recuerdo si estaba ese comando... yo siempre usaba lsmod, insmod, rmmod, momdprobe y depmod.
Entiendo que si han publicado la noticia es porque el grupo Chino Pangu Team es bien conocido por crear herramientas jailbreak para el iPhone, desde hace ya muchos años (al menos desde 2014)
en.wikipedia.org/wiki/Pangu_Team
UnaAlDia de Hispasec publica muchísimas noticias de BleepingComputer y THN (TheHackerNews), pero muchas, muchas.
No sería la primera vez que un medio "serio" la caga hablando de algo proveniente de China, y que se la hayan creído precisamente por el parecido en el nombre, siendo dos equipos totalmente distintos
[1] www.pangulab.cn/post/founded-text/
Si quieres quitar soporte de hw toca editar el kernel con "config" y guardar los cambios, preferiblemente en otra imagen de kernel. (config -e /bsd -o /bsd.nuevo).