BPFDoor Controller

اكتشف باحثو الأمن السيبراني عنصر تحكم جديد مرتبطًا بالباب الخلفي سيئ السمعة BPFDoor. يأتي هذا الاكتشاف الأخير في ظل هجمات إلكترونية متواصلة تستهدف قطاعات الاتصالات والتمويل وتجارة التجزئة في كوريا الجنوبية وهونغ كونغ وميانمار وماليزيا ومصر في عام 2024.

التعمق أكثر: قدرات الحركة العكسية والجانبية

وحدة التحكم المُكتشفة حديثًا قادرة على فتح غلاف عكسي، وهي أداة فعّالة للمهاجمين. تُمكّن هذه الوظيفة مجرمي الإنترنت من التنقيب بشكل أعمق في الشبكات المُخترقة، والسيطرة على المزيد من الأنظمة، وربما الوصول إلى بيانات حساسة.

لغز الإسناد: من وراء الستار؟

تم ربط هذه الهجمات مبدئيًا بمجموعة تهديد تُدعى Earth Bluecrow، والمعروفة أيضًا بأسماء مستعارة مثل DecisiveArchitect وRed Dev 18 وRed Menshen. مع ذلك، فإن هذا الإسناد يحظى بثقة متوسطة. والسبب؟ تم تسريب الكود المصدري لـ BPFDoor في عام 2022، مما يعني أن جهات تهديد أخرى قد تستغله الآن أيضًا.

BPFDoor: أداة تجسس سرية ومستمرة

BPFDoor هو باب خلفي لنظام لينكس كُشف عنه لأول مرة عام ٢٠٢٢، مع أنه كان قيد الاستخدام منذ عام على الأقل، مستهدفًا مؤسسات في آسيا والشرق الأوسط. ما يميزه هو قدرته على الوصول السري طويل الأمد إلى الأجهزة المخترقة، مما يجعله مثاليًا لعمليات التجسس.

كيف يعمل: سحر مرشح حزمة بيركلي

يُشتق اسم البرنامج الخبيث من استخدامه لمرشح حزم بيركلي (BPF). يسمح BPF للبرنامج بفحص حزم الشبكة الواردة بحثًا عن تسلسل "ماجيك بايت" محدد. عند اكتشاف هذا النمط الفريد، يُفعّل الباب الخلفي - حتى مع وجود جدار حماية. ويرجع ذلك إلى آلية عمل BPF على مستوى النواة، متجاوزًا حماية جدران الحماية التقليدية. على الرغم من شيوع هذه التقنية في برامج التجسس الجذرية، إلا أنها نادرة في الأبواب الخلفية.

لاعب جديد: وحدة التحكم في البرامج الضارة غير الموثقة

يكشف تحليل حديث أن خوادم لينكس المُخترقة كانت مُصابة أيضًا بوحدة تحكم بالبرمجيات الخبيثة لم تُوثّق سابقًا. بمجرد دخولها إلى الشبكة، تُسهّل هذه الوحدة حركة المهاجم الجانبية وتوسّع نطاق وصوله إلى أنظمة أخرى.

قبل إرسال "حزمة سحرية"، يطلب جهاز التحكم من المُشغِّل كلمة مرور - يجب أن تتطابق هذه الكلمة مع قيمة مُضمنة في برنامج BPFDoor الخبيث. في حال المصادقة، يُمكنه تنفيذ أحد الأوامر التالية:

• فتح غلاف عكسي
• إعادة توجيه الاتصالات الجديدة إلى غلاف على منفذ محدد

• التحقق مما إذا كان الباب الخلفي لا يزال نشطًا

القدرات المحسنة: دعم البروتوكول والتشفير

وحدة التحكم متعددة الاستخدامات، حيث تدعم بروتوكولات TCP وUDP وICMP. كما تتميز بوضع تشفير اختياري لضمان اتصال آمن. يتيح الوضع المباشر المتقدم للمهاجمين الاتصال الفوري بالأجهزة المصابة، باستخدام كلمة المرور الصحيحة فقط.

نظرة إلى المستقبل: التهديد المتزايد لـ BPF

يفتح BPF آفاقًا جديدة وغير مستكشفة إلى حد كبير أمام المهاجمين السيبرانيين. قدرته على تجاوز الدفاعات التقليدية تجعله أداةً جذابةً لمطوري البرمجيات الخبيثة المتطورة. بالنسبة لمحترفي الأمن السيبراني، يُعد فهم وتحليل التهديدات القائمة على BPF أمرًا بالغ الأهمية لاستباق الهجمات المستقبلية.