BPFDoor Controller
Küberturvalisuse teadlased on tuvastanud uue kontrolleri komponendi, mis on seotud kurikuulsa BPFDoori tagauksega. See viimane avastus pärineb 2024. aastal keset jätkuvaid küberrünnakuid, mis on suunatud telekommunikatsiooni-, finants- ja jaemüügisektorile Lõuna-Koreas, Hongkongis, Myanmaris, Malaisias ja Egiptuses.
Sisukord
Sügavamale kaevamine: tagurpidi kest ja külgsuunalise liikumise võimalused
Äsja avastatud kontroller suudab avada pöördkesta, mis on ründajate jaoks võimas tööriist. See funktsioon võimaldab külgsuunalist liikumist, võimaldades küberkurjategijatel tungida sügavamale ohustatud võrkudesse, võtta kontrolli rohkemate süsteemide üle ja potentsiaalselt pääseda juurde tundlikele andmetele.
Omistamismõistatus: kes on eesriide taga?
Neid rünnakuid on esialgu seostatud ohurühmaga, mille nimi on Earth Bluecrow ja mida tuntakse ka varjunimede all nagu DecisiveArchitect, Red Dev 18 ja Red Menshen. See omistamine on aga keskmise kindlustundega. Põhjus? BPFDoori lähtekood lekkis 2022. aastal, mis tähendab, et seda võivad nüüd kasutada ka teised ohus osalejad.
BPFDoor: püsiv ja varjatud spionaažitööriist
BPFDoor on Linuxi tagauks, mis avaldati esmakordselt 2022. aastal, kuigi seda oli kasutatud juba vähemalt aasta, sihiks Aasia ja Lähis-Ida organisatsioonid. Selle eristab tema võime säilitada pikaajaline varjatud juurdepääs ohustatud masinatele – ideaalne spionaažioperatsioonide jaoks.
Kuidas see töötab: Berkeley pakettfiltri võlu
Pahavara nimi tuleneb selle Berkeley pakettfiltri (BPF) kasutamisest. BPF võimaldab tarkvaral kontrollida sissetulevaid võrgupakette konkreetse "Magic Byte" jada jaoks. Kui see ainulaadne muster tuvastatakse, käivitab see tagaukse, isegi kui tulemüür on paigas. See on tingitud sellest, kuidas BPF töötab kerneli tasemel, jättes mööda traditsioonilistest tulemüürikaitsetest. Kuigi see tehnika on juurkomplektides tavaline, on see tagaustes haruldane.
Uus mängija: dokumentideta pahavara kontroller
Hiljutine analüüs paljastab, et ohustatud Linuxi serverid olid nakatunud ka varem dokumenteerimata pahavara kontrolleriga. Võrku sisenedes hõlbustab see kontroller külgsuunalist liikumist ja laiendab ründaja haaret teistes süsteemides.
Enne "võlupaketi" saatmist küsib kontroller operaatorilt parooli – see sama parool peab ühtima BPFDoor pahavara kõvasti kodeeritud väärtusega. Kui see on autentitud, võib see käivitada ühe mitmest käsust:
- Avage vastupidine kest
- Suunake uued ühendused ümber kindla pordi kesta
- Kontrollige, kas tagauks on endiselt aktiivne
Täiustatud võimalused: protokolli tugi ja krüpteerimine
Kontroller on mitmekülgne, toetades TCP-, UDP- ja ICMP-protokolle. Sellel on ka valikuline krüpteeritud režiim turvaliseks suhtluseks. Täiustatud otserežiim võimaldab ründajatel nakatunud masinatega kohe ühenduse luua – jällegi ainult õige parooliga.
Vaadates tulevikku: BPF-i laienev oht
BPF avab küberründajatele uue ja suures osas uurimata territooriumi. Selle võime traditsioonilistest kaitsemehhanismidest mööda hiilida muudab selle ahvatlevaks tööriistaks kogenud pahavara autoritele. Küberturvalisuse spetsialistide jaoks on BPF-il põhinevate ohtude mõistmine ja analüüsimine tulevaste rünnakute ees püsimiseks ülioluline.
