BPFDoor vezérlő
A kiberbiztonsági kutatók egy új vezérlőelemet azonosítottak, amely a hírhedt BPFDoor hátsó ajtóhoz kapcsolódik. Ez a legújabb felfedezés 2024-ben Dél-Koreában, Hongkongban, Mianmarban, Malajziában és Egyiptomban a távközlési, pénzügyi és kiskereskedelmi szektorokat célzó folyamatos kibertámadások közepette.
Tartalomjegyzék
Mélyebbre ásni: Fordított héj és oldalirányú mozgási képességek
Az újonnan felfedezett vezérlő képes megnyitni egy fordított shellt, amely hatékony eszköz a támadók számára. Ez a funkció lehetővé teszi az oldalirányú mozgást, lehetővé téve a kiberbűnözők számára, hogy mélyebbre áshassanak a feltört hálózatokba, több rendszer felett átvegyék az irányítást, és potenciálisan érzékeny adatokhoz férhessenek hozzá.
Nevezési rejtvény: Ki van a függöny mögött?
Ezeket a támadásokat feltételesen az Earth Bluecrow nevű fenyegetési csoporttal hozták összefüggésbe, amelyet olyan álnevekkel is ismernek, mint a DecisiveArchitect, a Red Dev 18 és a Red Menshen. Ez a hozzárendelés azonban közepes bizalommal jár. Az ok? A BPFDoor forráskódja 2022-ben kiszivárgott, ami azt jelenti, hogy most más fenyegetés szereplői is kihasználhatják azt.
BPFDoor: Kitartó és titkos kémeszköz
A BPFDoor egy Linux-hátsó ajtó, amelyet először 2022-ben tettek közzé, bár már legalább egy éve használták, ázsiai és közel-keleti szervezeteket célozva meg. Ami megkülönbözteti, az a képessége, hogy hosszú távú, rejtett hozzáférést biztosít a kompromittált gépekhez – tökéletes kémműveletekhez.
Hogyan működik: A Berkeley csomagszűrő varázsa
A rosszindulatú program neve a Berkeley Packet Filter (BPF) használatából ered. A BPF lehetővé teszi a szoftver számára, hogy megvizsgálja a bejövő hálózati csomagokat egy adott „Magic Byte” szekvencia szempontjából. Amikor ezt az egyedi mintát észleli, aktiválja a hátsó ajtót – még akkor is, ha tűzfal van a helyén. Ez annak köszönhető, hogy a BPF hogyan működik kernel szinten, megkerülve a hagyományos tűzfalvédelmet. Bár gyakori a rootkitekben, ez a technika ritka a hátsó ajtókban.
Egy új játékos: A nem dokumentált rosszindulatú programok vezérlője
A közelmúltban végzett elemzések azt mutatják, hogy a feltört Linux-szervereket egy korábban nem dokumentált malware-vezérlő is megfertőzte. A hálózatba kerülve ez a vezérlő megkönnyíti az oldalirányú mozgást, és kiterjeszti a támadó hatókörét más rendszerekre.
Mielőtt elküldene egy „varázscsomagot”, a vezérlő jelszót kér a kezelőtől – ennek a jelszónak meg kell egyeznie a BPFDoor rosszindulatú programon belüli kódolt értékkel. Ha hitelesített, akkor számos parancs egyikét tudja végrehajtani:
- Nyisson meg egy fordított héjat
- Az új kapcsolatok átirányítása egy adott porton lévő shellre
- Ellenőrizze, hogy a hátsó ajtó továbbra is aktív-e
Továbbfejlesztett képességek: Protokolltámogatás és titkosítás
A vezérlő sokoldalú, támogatja a TCP, UDP és ICMP protokollokat. A biztonságos kommunikáció érdekében opcionális titkosított móddal is rendelkezik. A fejlett közvetlen mód lehetővé teszi a támadók számára, hogy azonnal csatlakozzanak a fertőzött gépekhez – ismét csak a megfelelő jelszóval.
Előretekintve: A BPF növekvő veszélye
A BPF új és nagyrészt feltáratlan területeket nyit meg a számítógépes támadók számára. Az a képessége, hogy áthatol a hagyományos védekezéseken, vonzó eszközzé teszi a kifinomult rosszindulatú programok szerzői számára. A kiberbiztonsági szakemberek számára kulcsfontosságú a BPF-alapú fenyegetések megértése és elemzése a jövőbeli támadások megelőzésében.
