کنترلر BPFDoor

محققان امنیت سایبری یک جزء کنترل کننده جدید مرتبط با درب پشتی بدنام BPFDoor را شناسایی کرده اند. این جدیدترین کشف در بحبوحه حملات سایبری مداوم انجام می شود که بخش های مخابراتی، مالی و خرده فروشی را در سراسر کره جنوبی، هنگ کنگ، میانمار، مالزی و مصر در سال 2024 هدف قرار می دهد.

حفاری عمیق تر: پوسته معکوس و قابلیت های حرکت جانبی

کنترلر تازه کشف شده می تواند پوسته معکوس را باز کند که ابزار قدرتمندی برای مهاجمان است. این قابلیت حرکت جانبی را قادر می‌سازد - به مجرمان سایبری اجازه می‌دهد تا عمیق‌تر در شبکه‌های در معرض خطر کاوش کنند، کنترل سیستم‌های بیشتری را در دست بگیرند و به طور بالقوه به داده‌های حساس دسترسی پیدا کنند.

معمای انتساب: چه کسی پشت پرده است؟

این حملات به طور آزمایشی با یک گروه تهدید به نام Earth Bluecrow که با نام‌هایی مانند DecisiveArchitect، Red Dev 18 و Red Menshen نیز شناخته می‌شود، مرتبط بوده است. با این حال، این انتساب با اطمینان متوسط همراه است. دلیل؟ کد منبع BPFDoor در سال 2022 فاش شد، به این معنی که سایر عوامل تهدید ممکن است اکنون از آن استفاده کنند.

BPFDoor: یک ابزار جاسوسی مستمر و پنهان

BPFDoor یک درب پشتی لینوکس است که برای اولین بار در سال 2022 در معرض دید قرار گرفت، اگرچه قبلاً حداقل یک سال از آن استفاده می شد و سازمان هایی را در آسیا و خاورمیانه هدف قرار می داد. چیزی که آن را متمایز می کند توانایی آن در حفظ دسترسی طولانی مدت و مخفیانه به ماشین های در معرض خطر است که برای عملیات جاسوسی عالی است.

چگونه کار می کند: جادوی فیلتر بسته برکلی

نام این بدافزار از استفاده آن از فیلتر بسته برکلی (BPF) گرفته شده است. BPF به نرم افزار اجازه می دهد تا بسته های شبکه ورودی را برای یک توالی خاص "Magic Byte" بازرسی کند. هنگامی که این الگوی منحصربه‌فرد شناسایی می‌شود، درب پشتی را فعال می‌کند - حتی اگر یک دیوار آتش در جای خود باشد. این به دلیل نحوه عملکرد BPF در سطح هسته، دور زدن حفاظت های فایروال سنتی است. در حالی که در روت کیت ها رایج است، این تکنیک در درهای پشتی نادر است.

یک بازیکن جدید: کنترل کننده بدافزار بدون سند

تجزیه و تحلیل اخیر نشان می دهد که سرورهای لینوکس در معرض خطر نیز با یک کنترلر بدافزار غیرمستند قبلی آلوده شده اند. هنگامی که داخل شبکه است، این کنترلر حرکت جانبی را تسهیل می کند و دسترسی مهاجم را به سایر سیستم ها گسترش می دهد.

قبل از ارسال یک «بسته جادویی»، کنترلر از اپراتور یک رمز عبور می خواهد—همین رمز عبور باید با مقدار رمزگذاری شده در بدافزار BPFDoor مطابقت داشته باشد. در صورت احراز هویت، می تواند یکی از چندین دستور را اجرا کند:

• یک پوسته معکوس را باز کنید

قابلیت های پیشرفته: پشتیبانی از پروتکل و رمزگذاری

این کنترلر همه کاره است و از پروتکل های TCP، UDP و ICMP پشتیبانی می کند. همچنین دارای یک حالت رمزگذاری شده اختیاری برای برقراری ارتباط امن است. یک حالت مستقیم پیشرفته به مهاجمان اجازه می‌دهد تا فوراً به ماشین‌های آلوده متصل شوند - دوباره فقط با رمز عبور صحیح.

نگاه به آینده: تهدید در حال گسترش BPF

BPF قلمرو جدیدی و عمدتا ناشناخته را برای مهاجمان سایبری باز می کند. توانایی آن در عبور از دفاع سنتی آن را به ابزاری جذاب برای نویسندگان بدافزار پیچیده تبدیل می کند. برای متخصصان امنیت سایبری، درک و تجزیه و تحلیل تهدیدات مبتنی بر BPF برای جلوتر از حملات آینده بسیار مهم است.