BPFDoor Controller
Истраживачи сајбер безбедности идентификовали су нову компоненту контролера која је повезана са озлоглашеним бацкдоор-ом БПФДоор. Ово најновије откриће долази усред текућих сајбер напада усмерених на секторе телекомуникација, финансија и малопродаје широм Јужне Кореје, Хонг Конга, Мјанмара, Малезије и Египта 2024.
Преглед садржаја
Копање дубље: могућности повратне шкољке и бочног кретања
Новооткривени контролер може да отвори обрнуту шкољку, која је моћан алат за нападаче. Ова функционалност омогућава бочно кретање — омогућавајући сајбер криминалцима да копају дубље у угрожене мреже, преузму контролу над више система и потенцијално приступе осетљивим подацима.
Слагалица атрибуције: Ко је иза завесе?
Ови напади су условно повезани са групом претњи названом Еартх Блуецров, такође познатом под псеудонима попут ДецисивеАрцхитецт, Ред Дев 18 и Ред Менсхен. Међутим, ова атрибуција долази са средњом поузданошћу. разлог? Изворни код БПФДоор-а је процурио 2022. године, што значи да га сада могу користити и други актери претњи.
БПФДоор: Упорна и прикривена алатка за шпијунажу
БПФДоор је Линук бацкдоор први пут откривен 2022. године, иако је већ био у употреби најмање годину дана, циљајући на организације у Азији и на Блиском истоку. Оно што га издваја је његова способност да одржава дугорочан, тајни приступ компромитованим машинама — савршено за шпијунске операције.
Како то функционише: Чаролија Берклијевог филтера пакета
Назив малвера потиче од његове употребе Беркли пакетног филтера (БПФ). БПФ омогућава софтверу да прегледа долазне мрежне пакете за одређену секвенцу 'Магиц Бите'. Када се открије овај јединствени образац, он покреће бацкдоор—чак и ако је заштитни зид постављен. Ово је због начина на који БПФ функционише на нивоу кернела, заобилазећи традиционалну заштиту заштитног зида. Иако је уобичајена у рооткит-има, ова техника је ретка у бацкдоор-има.
Нови играч: недокументовани контролор злонамерног софтвера
Недавна анализа открива да су компромитовани Линук сервери такође били заражени претходно недокументованим контролером малвера. Једном у мрежи, овај контролер олакшава бочно кретање и проширује домет нападача на друге системе.
Пре слања 'магијског пакета', контролор тражи од оператера лозинку - ова иста лозинка мора да одговара чврсто кодираној вредности унутар БПФДоор малвера. Ако је аутентификован, може да изврши једну од неколико команди:
- Отворите обрнуту шкољку
- Преусмерите нове везе на љуску на одређеном порту
- Проверите да ли је задња врата још увек активна
Побољшане могућности: подршка за протокол и шифровање
Контролер је свестран, подржава ТЦП, УДП и ИЦМП протоколе. Такође има опциони шифровани режим за безбедну комуникацију. Напредни директни режим омогућава нападачима да се тренутно повежу са зараженим машинама — опет, само са тачном лозинком.
Гледање унапред: Све већа претња БПФ-а
БПФ отвара нову и углавном неистражену територију за сајбер нападаче. Његова способност да се провуче поред традиционалне одбране чини га привлачним алатом за софистициране ауторе злонамерног софтвера. За професионалце за сајбер безбедност, разумевање и анализа претњи заснованих на БПФ-у је од кључног значаја да би били испред будућих напада.
