Controller BPFDoor
Cercetătorii în domeniul securității cibernetice au identificat o nouă componentă de controler legată de faimoasa ușă din spate BPFDoor. Această ultimă descoperire vine pe fondul atacurilor cibernetice în curs care vizează sectoarele telecomunicațiilor, finanțelor și retailului din Coreea de Sud, Hong Kong, Myanmar, Malaezia și Egipt în 2024.
Cuprins
Săpat mai adânc: capac invers și capacități de mișcare laterală
Controlerul recent descoperit poate deschide un shell invers, care este un instrument puternic pentru atacatori. Această funcționalitate permite mișcarea laterală, permițând infractorilor cibernetici să sape mai adânc în rețelele compromise, să preia controlul asupra mai multor sisteme și, potențial, să acceseze date sensibile.
Puzzle de atribuire: cine se află în spatele cortinei?
Aceste atacuri au fost legate provizoriu de un grup de amenințări numit Earth Bluecrow, cunoscut și sub aliasuri precum DecisiveArchitect, Red Dev 18 și Red Menshen. Cu toate acestea, această atribuire vine cu o încredere medie. Motivul? Codul sursă al BPFDoor a fost scurs în 2022, ceea ce înseamnă că alți actori amenințări ar putea acum să îl folosească și ei.
BPFDoor: Un instrument de spionaj persistent și secret
BPFDoor este un backdoor Linux expus pentru prima dată în 2022, deși era deja în uz de cel puțin un an, vizând organizațiile din Asia și Orientul Mijlociu. Ceea ce îl diferențiază este capacitatea sa de a menține acces pe termen lung, ascuns, la mașinile compromise - perfect pentru operațiuni de spionaj.
Cum funcționează: Magia filtrului de pachete Berkeley
Numele malware-ului provine de la utilizarea filtrului de pachete Berkeley (BPF). BPF permite software-ului să inspecteze pachetele de rețea primite pentru o anumită secvență „Magic Byte”. Când acest model unic este detectat, declanșează ușa din spate, chiar dacă există un firewall. Acest lucru se datorează modului în care BPF funcționează la nivel de kernel, ocolind protecțiile firewall tradiționale. Deși este comună în rootkit-uri, această tehnică este rară în ușile din spate.
Un jucător nou: Controlerul malware nedocumentat
Analiza recentă dezvăluie că serverele Linux compromise au fost, de asemenea, infectate cu un controler malware nedocumentat anterior. Odată ajuns în rețea, acest controler facilitează mișcarea laterală și extinde raza atacatorului peste alte sisteme.
Înainte de a trimite un „pachet magic”, controlerul solicită operatorului o parolă — aceeași parolă trebuie să se potrivească cu o valoare codificată din programul malware BPFDoor. Dacă este autentificat, poate executa una dintre mai multe comenzi:
- Deschideți o carcasă inversă
- Redirecționează noile conexiuni către un shell pe un anumit port
- Verificați dacă ușa din spate este încă activă
Capabilități îmbunătățite: suport pentru protocol și criptare
Controlerul este versatil, acceptând protocoale TCP, UDP și ICMP. Dispune, de asemenea, de un mod criptat opțional pentru o comunicare sigură. Un mod direct avansat permite atacatorilor să se conecteze instantaneu la mașinile infectate — din nou, doar cu parola corectă.
Privind în perspectivă: Amenințarea în expansiune a BPF
BPF deschide un teritoriu nou și în mare parte neexplorat pentru atacatorii cibernetici. Capacitatea sa de a se strecura dincolo de apărările tradiționale îl face un instrument atrăgător pentru autorii sofisticați de programe malware. Pentru profesioniștii în securitate cibernetică, înțelegerea și analiza amenințărilor bazate pe BPF este esențială pentru a rămâne în fața viitoarelor atacuri.
