BPFDoor valdiklis
Kibernetinio saugumo tyrėjai nustatė naują valdiklio komponentą, susietą su liūdnai pagarsėjusiu BPFDoor užpakalinėmis durimis. Šis naujausias atradimas buvo padarytas vykstant kibernetinėms atakoms, nukreiptoms į telekomunikacijų, finansų ir mažmeninės prekybos sektorius Pietų Korėjoje, Honkonge, Mianmare, Malaizijoje ir Egipte 2024 m.
Turinys
Kasti giliau: atvirkštinio apvalkalo ir šoninio judėjimo galimybės
Naujai atrastas valdiklis gali atidaryti atvirkštinį apvalkalą, kuris yra galingas įrankis užpuolikams. Ši funkcija leidžia judėti į šoną – leidžia kibernetiniams nusikaltėliams įsigilinti į pažeistus tinklus, kontroliuoti daugiau sistemų ir galbūt pasiekti jautrius duomenis.
Priskyrimo galvosūkis: kas už uždangos?
Šios atakos preliminariai buvo siejamos su grėsmių grupe, pavadinta „Earth Bluecrow“, taip pat žinoma tokiais slapyvardžiais kaip „DecisiveArchitect“, „Red Dev 18“ ir „Red Menshen“. Tačiau šis priskyrimas yra vidutinio pasitikėjimo. Priežastis? BPFDoor šaltinio kodas buvo nutekintas 2022 m., o tai reiškia, kad dabar juo gali pasinaudoti ir kiti grėsmės veikėjai.
BPFDoor: nuolatinis ir slaptas šnipinėjimo įrankis
„BPFDoor“ yra „Linux“ užpakalinės durys, pirmą kartą parodytos 2022 m., nors ji jau buvo naudojama mažiausiai metus, skirta Azijos ir Artimųjų Rytų organizacijoms. Tai, kas jį išskiria, yra gebėjimas išlaikyti ilgalaikę, slaptą prieigą prie pažeistų mašinų, puikiai tinkančių šnipinėjimo operacijoms.
Kaip tai veikia: Berklio paketų filtro magija
Kenkėjiškos programos pavadinimas kilęs nuo jos naudojimo Berkeley Packet Filter (BPF). BPF leidžia programinei įrangai tikrinti gaunamus tinklo paketus, ar nėra tam tikros „Magic Byte“ sekos. Kai aptinkamas šis unikalus modelis, jis suaktyvina užpakalines duris, net jei užkarda yra vietoje. Taip yra dėl to, kaip BPF veikia branduolio lygiu, apeinant tradicines ugniasienės apsaugas. Nors ši technika yra įprasta „rootkit“, tačiau užpakalinėse duryse ši technika yra reta.
Naujas grotuvas: nedokumentuotas kenkėjiškų programų valdiklis
Neseniai atlikta analizė atskleidžia, kad pažeisti Linux serveriai taip pat buvo užkrėsti anksčiau nedokumentuotu kenkėjiškų programų valdikliu. Patekęs į tinklą, šis valdiklis palengvina šoninį judėjimą ir išplečia užpuoliko pasiekiamumą kitose sistemose.
Prieš siųsdamas „stebuklingąjį paketą“, valdiklis paprašo operatoriaus įvesti slaptažodį – tas pats slaptažodis turi atitikti užkoduotą „BPFDoor“ kenkėjiškos programos reikšmę. Jei autentifikuotas, jis gali vykdyti vieną iš kelių komandų:
- Atidarykite atvirkštinį apvalkalą
- Peradresuokite naujus ryšius į apvalkalą konkrečiame prievade
- Patikrinkite, ar užpakalinės durys vis dar aktyvios
Patobulintos galimybės: protokolų palaikymas ir šifravimas
Valdiklis yra universalus, palaikantis TCP, UDP ir ICMP protokolus. Jame taip pat yra pasirenkamas šifruotas saugios komunikacijos režimas. Išplėstinis tiesioginis režimas leidžia užpuolikams akimirksniu prisijungti prie užkrėstų įrenginių – vėlgi, tik naudojant teisingą slaptažodį.
Žvilgsnis į ateitį: besiplečianti BPF grėsmė
BPF atveria naują ir beveik neištirtą teritoriją kibernetiniams užpuolikams. Dėl savo gebėjimo aplenkti tradicines apsaugos priemones jis yra patrauklus įrankis sudėtingiems kenkėjiškų programų autoriams. Kibernetinio saugumo specialistams BPF pagrįstų grėsmių supratimas ir analizė yra labai svarbus dalykas, norint apsisaugoti nuo būsimų atakų.
