BPFDoor Controller
Изследователите на киберсигурността са идентифицирали нов компонент на контролера, свързан с прословутата задна вратичка BPFDoor. Това последно откритие идва на фона на продължаващи кибератаки, насочени към секторите на телекомуникациите, финансите и търговията на дребно в Южна Корея, Хонг Конг, Мианмар, Малайзия и Египет през 2024 г.
Съдържание
Копаене по-дълбоко: Възможности за обратна черупка и странично движение
Новооткритият контролер може да отвори обратна обвивка, което е мощен инструмент за нападателите. Тази функционалност позволява странично движение, което позволява на киберпрестъпниците да проникнат по-дълбоко в компрометирани мрежи, да поемат контрол над повече системи и потенциално да имат достъп до чувствителни данни.
Пъзел с приписване: Кой е зад завесата?
Тези атаки са условно свързани с група за заплаха, наречена Earth Bluecrow, известна също с псевдоними като DecisiveArchitect, Red Dev 18 и Red Menshen. Това приписване обаче идва със средна степен на увереност. причината? Изходният код на BPFDoor изтече през 2022 г., което означава, че други участници в заплахата може сега също да го използват.
BPFDoor: Инструмент за постоянен и скрит шпионаж
BPFDoor е задна врата на Linux, разкрита за първи път през 2022 г., въпреки че вече се използва от поне една година, насочена към организации в Азия и Близкия изток. Това, което го отличава, е способността му да поддържа дългосрочен, таен достъп до компрометирани машини - идеален за шпионски операции.
Как работи: Магията на пакетния филтър Бъркли
Името на зловреден софтуер идва от използването на пакетния филтър на Бъркли (BPF). BPF позволява на софтуера да проверява входящите мрежови пакети за специфична последователност „Magic Byte“. Когато този уникален модел бъде открит, той задейства задната врата - дори ако има защитна стена. Това се дължи на начина, по който BPF работи на ниво ядро, заобикаляйки традиционните защити на защитната стена. Въпреки че е често срещана при руткитовете, тази техника е рядка при задни вратички.
Нов играч: Недокументираният контролер за зловреден софтуер
Скорошен анализ разкрива, че компрометираните Linux сървъри също са били заразени с недокументиран преди това контролер за зловреден софтуер. Веднъж влязъл в мрежата, този контролер улеснява страничното движение и разширява обхвата на нападателя в други системи.
Преди да изпрати „магически пакет“, контролерът подканва оператора за парола – същата тази парола трябва да съвпада с твърдо кодирана стойност в зловредния софтуер BPFDoor. Ако бъде удостоверено, може да изпълни една от няколко команди:
- Отворете обратна обвивка
- Пренасочване на нови връзки към обвивка на конкретен порт
- Проверете дали задната врата все още е активна
Подобрени възможности: Поддръжка на протоколи и криптиране
Контролерът е многофункционален, поддържа TCP, UDP и ICMP протоколи. Той също така разполага с допълнителен криптиран режим за сигурна комуникация. Усъвършенстваният директен режим позволява на атакуващите незабавно да се свържат със заразени машини - отново само с правилната парола.
С поглед напред: Разширяващата се заплаха от BPF
BPF отваря нова и до голяма степен неизследвана територия за кибератаки. Способността му да се промъква покрай традиционните защити го прави привлекателен инструмент за сложни автори на зловреден софтуер. За специалистите по киберсигурност разбирането и анализирането на заплахи, базирани на BPF, е от решаващо значение за изпреварване на бъдещи атаки.
