Pengawal BPFDoor
Penyelidik keselamatan siber telah mengenal pasti komponen pengawal baharu yang dikaitkan dengan pintu belakang BPFDoor yang terkenal. Penemuan terbaru ini berlaku di tengah-tengah serangan siber berterusan yang menyasarkan sektor telekomunikasi, kewangan dan runcit di seluruh Korea Selatan, Hong Kong, Myanmar, Malaysia dan Mesir pada 2024.
Isi kandungan
Menggali Lebih Dalam: Keupayaan Pergerakan Cangkang Songsang dan Lateral
Pengawal yang baru ditemui boleh membuka cangkerang terbalik, yang merupakan alat yang berkuasa untuk penyerang. Fungsi ini membolehkan pergerakan sisi—membolehkan penjenayah siber menggali lebih dalam ke dalam rangkaian yang terjejas, mengawal lebih banyak sistem dan berpotensi mengakses data sensitif.
Teka-teki Atribusi: Siapa di Sebalik Tirai?
Serangan ini telah dikaitkan secara sementara kepada kumpulan ancaman yang digelar Earth Bluecrow, juga dikenali dengan alias seperti DecisiveArchitect, Red Dev 18 dan Red Menshen. Walau bagaimanapun, atribusi ini datang dengan keyakinan sederhana. Sebabnya? Kod sumber BPFDoor telah dibocorkan pada tahun 2022, bermakna pelakon ancaman lain kini mungkin memanfaatkannya juga.
BPFDoor: Alat Pengintipan yang Berterusan dan Tersembunyi
BPFDoor ialah pintu belakang Linux yang pertama kali didedahkan pada tahun 2022, walaupun ia telah digunakan sekurang-kurangnya setahun, menyasarkan organisasi di Asia dan Timur Tengah. Apa yang membezakannya ialah keupayaannya untuk mengekalkan akses rahsia jangka panjang kepada mesin yang terjejas—sempurna untuk operasi pengintipan.
Cara Ia Berfungsi: Keajaiban Penapis Paket Berkeley
Nama perisian hasad berasal daripada penggunaan Penapis Paket Berkeley (BPF). BPF membenarkan perisian untuk memeriksa paket rangkaian masuk untuk jujukan 'Magic Byte' tertentu. Apabila corak unik ini dikesan, ia mencetuskan pintu belakang—walaupun jika tembok api dipasang. Ini disebabkan oleh cara BPF beroperasi pada peringkat kernel, memintas perlindungan tembok api tradisional. Walaupun biasa dalam rootkit, teknik ini jarang berlaku di pintu belakang.
Pemain Baharu: Pengawal Perisian Hasad Tanpa Dokumen
Analisis terkini mendedahkan bahawa pelayan Linux yang terjejas juga telah dijangkiti dengan pengawal perisian hasad yang tidak didokumenkan sebelum ini. Apabila berada di dalam rangkaian, pengawal ini memudahkan pergerakan sisi dan meluaskan jangkauan penyerang merentasi sistem lain.
Sebelum menghantar 'paket ajaib', pengawal menggesa operator untuk kata laluan—kata laluan yang sama ini mesti sepadan dengan nilai berkod keras dalam perisian hasad BPFDoor. Jika disahkan, ia boleh melaksanakan salah satu daripada beberapa arahan:
- Buka cangkang terbalik
- Ubah hala sambungan baharu ke shell pada port tertentu
- Sahkan sama ada pintu belakang masih aktif
Keupayaan Dipertingkat: Sokongan dan Penyulitan Protokol
Pengawal adalah serba boleh, menyokong protokol TCP, UDP dan ICMP. Ia juga mempunyai mod yang disulitkan pilihan untuk komunikasi selamat. Mod langsung lanjutan membolehkan penyerang menyambung serta-merta ke mesin yang dijangkiti—sekali lagi, hanya dengan kata laluan yang betul.
Memandang ke Hadapan: Ancaman BPF yang Berkembang
BPF membuka wilayah baharu dan sebahagian besarnya belum diterokai untuk penyerang siber. Keupayaannya untuk melepasi pertahanan tradisional menjadikannya alat yang menarik untuk pengarang perisian hasad yang canggih. Bagi profesional keselamatan siber, memahami dan menganalisis ancaman berasaskan BPF adalah penting untuk terus mendahului serangan pada masa hadapan.
