BPFDoor Controller
Kyberturvallisuustutkijat ovat löytäneet uuden ohjainkomponentin, joka liittyy pahamaineiseen BPFDoor-takaoviin. Tämä uusin löytö tulee keskellä jatkuvaa tietoliikenne-, rahoitus- ja vähittäiskaupan aloille kohdistuvia kyberhyökkäyksiä Etelä-Koreassa, Hongkongissa, Myanmarissa, Malesiassa ja Egyptissä vuonna 2024.
Sisällysluettelo
Kaivaminen syvemmälle: Reverse Shell ja Lateral Movement -ominaisuudet
Äskettäin löydetty ohjain voi avata käänteisen kuoren, joka on tehokas työkalu hyökkääjille. Tämä toiminto mahdollistaa sivuttaisliikkeen, jolloin verkkorikolliset voivat kaivaa syvemmälle vaarantuneisiin verkkoihin, ottaa hallintaansa useampia järjestelmiä ja mahdollisesti päästä käsiksi arkaluontoisiin tietoihin.
Nimeämispalapeli: Kuka on verhon takana?
Nämä hyökkäykset on alustavasti yhdistetty uhkaryhmään nimeltä Earth Bluecrow, joka tunnetaan myös nimellä DecisiveArchitect, Red Dev 18 ja Red Menshen. Tämä attribuutio tulee kuitenkin keskinkertaisella varmuudella. syy? BPFDoorin lähdekoodi vuoti vuonna 2022, mikä tarkoittaa, että myös muut uhkatoimijat voivat nyt hyödyntää sitä.
BPFDoor: Pysyvä ja salainen vakoilutyökalu
BPFDoor on Linux-takaovi, joka julkaistiin ensimmäisen kerran vuonna 2022, vaikka se oli ollut käytössä jo vähintään vuoden, ja se on suunnattu Aasian ja Lähi-idän organisaatioille. Sen erottaa sen kyvystä ylläpitää pitkäaikaista, peiteltyä pääsyä vaarantuneisiin koneisiin – täydellinen vakoiluoperaatioihin.
Kuinka se toimii: Berkeley-pakettisuodattimen taika
Haittaohjelman nimi tulee sen Berkeley Packet Filterin (BPF) käytöstä. BPF sallii ohjelmiston tarkastaa saapuvat verkkopaketit tietyn "Magic Byte" -sekvenssin varalta. Kun tämä ainutlaatuinen kuvio havaitaan, se laukaisee takaoven – vaikka palomuuri olisi paikallaan. Tämä johtuu siitä, kuinka BPF toimii ydintasolla ohittaen perinteiset palomuurisuojaukset. Vaikka tämä tekniikka on yleinen rootkitissä, se on harvinainen takaovissa.
Uusi pelaaja: dokumentoimaton haittaohjelmien ohjain
Viimeaikainen analyysi paljastaa, että vaarantuneet Linux-palvelimet ovat myös saaneet aiemmin dokumentoimattoman haittaohjelmaohjaimen. Verkon sisällä tämä ohjain helpottaa sivuttaisliikettä ja laajentaa hyökkääjän ulottuvuutta muihin järjestelmiin.
Ennen "taikapaketin" lähettämistä ohjain pyytää käyttäjältä salasanaa – tämän salasanan on vastattava BPFDoor-haittaohjelman kovakoodattua arvoa. Jos se on todennettu, se voi suorittaa yhden useista komennoista:
- Avaa käänteinen kuori
- Uudelleenohjaa uudet yhteydet tietyn portin kuoreen
- Tarkista, onko takaovi edelleen aktiivinen
Parannetut ominaisuudet: Protokollatuki ja salaus
Ohjain on monipuolinen ja tukee TCP-, UDP- ja ICMP-protokollia. Siinä on myös valinnainen salattu tila suojattua viestintää varten. Edistyneen suoran tilan avulla hyökkääjät voivat muodostaa välittömästi yhteyden tartunnan saaneisiin koneisiin – jälleen vain oikealla salasanalla.
Katse eteenpäin: BPF:n kasvava uhka
BPF avaa uuden ja pitkälti tutkimattoman alueen kyberhyökkääjille. Sen kyky hiipiä perinteisten puolustuskeinojen ohi tekee siitä houkuttelevan työkalun kehittyneille haittaohjelmien tekijöille. Kyberturvallisuuden ammattilaisille BPF-pohjaisten uhkien ymmärtäminen ja analysointi on ratkaisevan tärkeää pysyäkseen tulevien hyökkäysten edessä.
