Controllore porta BPFDoor
I ricercatori di sicurezza informatica hanno identificato un nuovo componente del controller collegato alla famigerata backdoor BPFDoor. Questa ultima scoperta arriva nel bel mezzo di attacchi informatici in corso contro i settori delle telecomunicazioni, della finanza e del commercio al dettaglio in Corea del Sud, Hong Kong, Myanmar, Malesia ed Egitto nel 2024.
Sommario
Approfondimento: capacità di movimento laterale e guscio inverso
Il controller appena scoperto può aprire una shell inversa, un potente strumento per gli aggressori. Questa funzionalità consente il movimento laterale, consentendo ai criminali informatici di penetrare più a fondo nelle reti compromesse, assumere il controllo di più sistemi e potenzialmente accedere a dati sensibili.
Enigma dell’attribuzione: chi c’è dietro il sipario?
Questi attacchi sono stati provvisoriamente collegati a un gruppo di minacce chiamato Earth Bluecrow, noto anche con alias come DecisiveArchitect, Red Dev 18 e Red Menshen. Tuttavia, questa attribuzione è moderatamente attendibile. Il motivo? Il codice sorgente di BPFDoor è trapelato nel 2022, il che significa che anche altri autori di minacce potrebbero ora sfruttarlo.
BPFDoor: uno strumento di spionaggio persistente e nascosto
BPFDoor è una backdoor Linux scoperta per la prima volta nel 2022, sebbene fosse già in uso da almeno un anno, prendendo di mira organizzazioni in Asia e Medio Oriente. Ciò che la distingue è la sua capacità di mantenere un accesso occulto a lungo termine ai computer compromessi, perfetto per operazioni di spionaggio.
Come funziona: la magia del filtro a pacchetti Berkeley
Il nome del malware deriva dall'utilizzo del Berkeley Packet Filter (BPF). Il BPF consente al software di ispezionare i pacchetti di rete in ingresso alla ricerca di una specifica sequenza di "Magic Byte". Quando viene rilevato questo pattern univoco, la backdoor viene attivata, anche in presenza di un firewall. Ciò è dovuto al modo in cui il BPF opera a livello di kernel, bypassando le tradizionali protezioni dei firewall. Sebbene comune nei rootkit, questa tecnica è rara nelle backdoor.
Un nuovo giocatore: il controllore del malware non documentato
Analisi recenti rivelano che i server Linux compromessi sono stati infettati anche da un controller malware precedentemente non documentato. Una volta all'interno della rete, questo controller facilita il movimento laterale ed estende la portata dell'attaccante su altri sistemi.
Prima di inviare un "pacchetto magico", il controller richiede all'operatore una password: questa password deve corrispondere a un valore hard-coded all'interno del malware BPFDoor. Se autenticato, può eseguire uno dei seguenti comandi:
- Aprire una shell inversa
- Reindirizza le nuove connessioni a una shell su una porta specifica
- Verifica se la backdoor è ancora attiva
Funzionalità avanzate: supporto del protocollo e crittografia
Il controller è versatile e supporta i protocolli TCP, UDP e ICMP. Offre inoltre una modalità crittografata opzionale per comunicazioni sicure. Una modalità diretta avanzata consente agli aggressori di connettersi istantaneamente alle macchine infette, sempre utilizzando la password corretta.
Uno sguardo al futuro: la crescente minaccia del BPF
Il BPF apre nuovi e in gran parte inesplorati territori per gli aggressori informatici. La sua capacità di superare le difese tradizionali lo rende uno strumento interessante per gli autori di malware più sofisticati. Per i professionisti della sicurezza informatica, comprendere e analizzare le minacce basate sul BPF è fondamentale per anticipare gli attacchi futuri.
