BPFDoor Controller
Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong bahagi ng controller na naka-link sa kilalang BPFDoor backdoor. Ang pinakabagong pagtuklas na ito ay dumating sa gitna ng patuloy na cyberattacks na nagta-target sa mga sektor ng telekomunikasyon, pananalapi, at retail sa buong South Korea, Hong Kong, Myanmar, Malaysia at Egypt noong 2024.
Talaan ng mga Nilalaman
Paghuhukay ng Mas Malalim: Reverse Shell at Lateral Movement Capabilities
Ang bagong natuklasang controller ay maaaring magbukas ng reverse shell, na isang makapangyarihang tool para sa mga umaatake. Ang functionality na ito ay nagbibigay-daan sa paggalaw sa gilid—nagbibigay-daan sa mga cybercriminal na maghukay ng mas malalim sa mga nakompromisong network, kontrolin ang mas maraming system, at potensyal na ma-access ang sensitibong data.
Attribution Puzzle: Sino ang Nasa Likod ng Kurtina?
Pansamantalang na-link ang mga pag-atakeng ito sa isang grupo ng pagbabanta na tinawag na Earth Bluecrow, na kilala rin sa mga alias tulad ng DecisiveArchitect, Red Dev 18, at Red Menshen. Gayunpaman, ang pagpapatungkol na ito ay may katamtamang kumpiyansa. Ang dahilan? Ang source code ng BPFDoor ay na-leak noong 2022, ibig sabihin, maaari na rin itong gamitin ng iba pang mga banta na aktor.
BPFDoor: Isang Paulit-ulit at Nakatagong Espionage Tool
Ang BPFDoor ay isang backdoor ng Linux na unang na-expose noong 2022, kahit na ginagamit na ito nang hindi bababa sa isang taon, na nagta-target ng mga organisasyon sa Asia at Middle East. Ang pinagkaiba nito ay ang kakayahan nitong mapanatili ang pangmatagalan, lihim na pag-access sa mga nakompromisong makina—perpekto para sa mga operasyon ng espiya.
Paano Ito Gumagana: Ang Magic ng Berkeley Packet Filter
Ang pangalan ng malware ay nagmula sa paggamit nito ng Berkeley Packet Filter (BPF). Binibigyang-daan ng BPF ang software na siyasatin ang mga papasok na network packet para sa isang partikular na 'Magic Byte' na sequence. Kapag natukoy ang natatanging pattern na ito, pinalitaw nito ang backdoor—kahit na may firewall na nakalagay. Ito ay dahil sa kung paano gumagana ang BPF sa antas ng kernel, na nilalampasan ang mga tradisyonal na proteksyon ng firewall. Bagama't karaniwan sa mga rootkit, ang pamamaraang ito ay bihira sa mga backdoor.
Isang Bagong Manlalaro: Ang Undocumented Malware Controller
Ang kamakailang pagsusuri ay nagpapakita na ang mga nakompromiso na server ng Linux ay nahawahan din ng dati nang hindi dokumentado na controller ng malware. Kapag nasa loob na ng network, pinapadali ng controller na ito ang pag-ilid na paggalaw at pinapalawak ang abot ng umaatake sa iba pang mga system.
Bago magpadala ng 'magic packet,' sinenyasan ng controller ang operator para sa isang password—dapat tumugma ang parehong password sa isang hard-coded na halaga sa loob ng BPFDoor malware. Kung napatotohanan, maaari itong magsagawa ng isa sa ilang mga utos:
- Magbukas ng reverse shell
- I-redirect ang mga bagong koneksyon sa isang shell sa isang partikular na port
- I-verify kung aktibo pa rin ang backdoor
Mga Pinahusay na Kakayahan: Suporta sa Protocol at Encryption
Ang controller ay maraming nalalaman, na sumusuporta sa mga protocol ng TCP, UDP, at ICMP. Nagtatampok din ito ng opsyonal na naka-encrypt na mode para sa secure na komunikasyon. Ang isang advanced na direktang mode ay nagbibigay-daan sa mga umaatake na agad na kumonekta sa mga nahawaang makina—muli, gamit lamang ang tamang password.
Looking Ahead: Ang Lumalawak na Banta ng BPF
Binubuksan ng BPF ang bago at halos hindi pa na-explore na teritoryo para sa mga cyber attacker. Ang kakayahang makalusot sa mga tradisyonal na panlaban ay ginagawa itong isang kaakit-akit na tool para sa mga sopistikadong may-akda ng malware. Para sa mga propesyonal sa cybersecurity, ang pag-unawa at pagsusuri sa mga pagbabanta na nakabatay sa BPF ay napakahalaga para manatiling nangunguna sa mga pag-atake sa hinaharap.
