BPF-dørkontroller
Cybersikkerhetsforskere har identifisert en ny kontrollerkomponent knyttet til den beryktede BPFDoor-bakdøren. Denne siste oppdagelsen kommer midt i pågående cyberangrep rettet mot telekommunikasjons-, finans- og detaljhandelssektorene over hele Sør-Korea, Hong Kong, Myanmar, Malaysia og Egypt i 2024.
Innholdsfortegnelse
Grave dypere: Omvendt skall- og sidebevegelsesevne
Den nylig oppdagede kontrolleren kan åpne et omvendt skall, som er et kraftig verktøy for angripere. Denne funksjonaliteten muliggjør sideveis bevegelse – slik at nettkriminelle kan grave dypere inn i kompromitterte nettverk, ta kontroll over flere systemer og potensielt få tilgang til sensitive data.
Attribusjonsoppgave: Hvem er bak gardinet?
Disse angrepene er foreløpig knyttet til en trusselgruppe kalt Earth Bluecrow, også kjent under aliaser som DecisiveArchitect, Red Dev 18 og Red Menshen. Imidlertid kommer denne attribusjonen med middels selvtillit. Årsaken? BPFDoors kildekode ble lekket i 2022, noe som betyr at andre trusselaktører nå kan utnytte den også.
BPFDoor: Et vedvarende og skjult spionasjeverktøy
BPFDoor er en Linux-bakdør som først ble eksponert i 2022, selv om den allerede hadde vært i bruk i minst et år, rettet mot organisasjoner i Asia og Midtøsten. Det som skiller den er dens evne til å opprettholde langsiktig, skjult tilgang til kompromitterte maskiner – perfekt for spionasjeoperasjoner.
Hvordan det fungerer: The Magic of the Berkeley Packet Filter
Skadevarens navn kommer fra bruken av Berkeley Packet Filter (BPF). BPF lar programvaren inspisere innkommende nettverkspakker for en spesifikk 'Magic Byte'-sekvens. Når dette unike mønsteret oppdages, utløser det bakdøren – selv om en brannmur er på plass. Dette skyldes hvordan BPF opererer på kjernenivå, og omgår tradisjonell brannmurbeskyttelse. Selv om den er vanlig i rootkits, er denne teknikken sjelden i bakdører.
En ny spiller: Kontrolleren for udokumentert skadelig programvare
Nyere analyser avslører at kompromitterte Linux-servere også ble infisert med en tidligere udokumentert skadelig programvarekontroller. En gang inne i nettverket letter denne kontrolleren sideveis bevegelse og utvider angriperens rekkevidde på tvers av andre systemer.
Før du sender en 'magisk pakke', ber kontrolleren operatøren om et passord – det samme passordet må samsvare med en hardkodet verdi i BPFDoor-malwaren. Hvis den er autentisert, kan den utføre en av flere kommandoer:
- Åpne et omvendt skall
- Omdiriger nye tilkoblinger til et skall på en bestemt port
- Kontroller om bakdøren fortsatt er aktiv
Forbedrede muligheter: Protokollstøtte og kryptering
Kontrolleren er allsidig og støtter TCP-, UDP- og ICMP-protokoller. Den har også en valgfri kryptert modus for sikker kommunikasjon. En avansert direktemodus lar angripere umiddelbart koble til infiserte maskiner – igjen, bare med riktig passord.
Looking Ahead: The Expanding Threat of BPF
BPF åpner nytt og stort sett uutforsket territorium for cyberangripere. Dens evne til å snike seg forbi tradisjonelle forsvar gjør det til et tiltalende verktøy for sofistikerte skadevareforfattere. For fagfolk innen cybersikkerhet er forståelse og analyse av BPF-baserte trusler avgjørende for å ligge i forkant av fremtidige angrep.
