BPFKapı Kontrolörü
Siber güvenlik araştırmacıları, kötü şöhretli BPFDoor arka kapısıyla bağlantılı yeni bir denetleyici bileşeni tespit etti. Bu son keşif, 2024'te Güney Kore, Hong Kong, Myanmar, Malezya ve Mısır'daki telekomünikasyon, finans ve perakende sektörlerini hedef alan devam eden siber saldırıların ortasında geldi.
İçindekiler
Daha Derine İnmek: Ters Kabuk ve Yanal Hareket Yetenekleri
Yeni keşfedilen denetleyici, saldırganlar için güçlü bir araç olan ters bir kabuk açabilir. Bu işlevsellik, siber suçluların tehlikeye atılmış ağlara daha derinden girmelerine, daha fazla sistemi kontrol altına almalarına ve potansiyel olarak hassas verilere erişmelerine olanak tanıyan yanal hareketi mümkün kılar.
Atıf Bulmacası: Perdenin Arkasında Kim Var?
Bu saldırılar, geçici olarak DecisiveArchitect, Red Dev 18 ve Red Menshen gibi takma adlarla da bilinen Earth Bluecrow adlı bir tehdit grubuyla ilişkilendirildi. Ancak, bu atıf orta düzeyde güvenle geliyor. Nedeni? BPFDoor'un kaynak kodu 2022'de sızdırıldı, bu da diğer tehdit aktörlerinin de artık bundan faydalanıyor olabileceği anlamına geliyor.
BPFDoor: Kalıcı ve Gizli Bir Casusluk Aracı
BPFDoor, ilk olarak 2022'de açığa çıkarılan bir Linux arka kapısıdır, ancak en az bir yıldır Asya ve Orta Doğu'daki kuruluşları hedef alarak kullanılıyordu. Onu farklı kılan şey, tehlikeye atılmış makinelere uzun vadeli, gizli erişim sağlama yeteneğidir; casusluk operasyonları için mükemmeldir.
Nasıl Çalışır: Berkeley Paket Filtresinin Sihri
Kötü amaçlı yazılımın adı Berkeley Paket Filtresi'ni (BPF) kullanmasından gelir. BPF, yazılımın gelen ağ paketlerini belirli bir 'Sihirli Bayt' dizisi açısından incelemesine olanak tanır. Bu benzersiz desen algılandığında, bir güvenlik duvarı yerinde olsa bile arka kapıyı tetikler. Bunun nedeni, BPF'nin çekirdek düzeyinde geleneksel güvenlik duvarı korumalarını atlayarak nasıl çalıştığıdır. Kök kitlerde yaygın olsa da, bu teknik arka kapılarda nadirdir.
Yeni Bir Oyuncu: Belgelenmemiş Kötü Amaçlı Yazılım Denetleyicisi
Son analizler, tehlikeye atılan Linux sunucularının daha önce belgelenmemiş bir kötü amaçlı yazılım denetleyicisiyle de enfekte olduğunu ortaya koyuyor. Ağın içine girdikten sonra, bu denetleyici yanal hareketi kolaylaştırır ve saldırganın erişimini diğer sistemlere doğru genişletir.
Bir 'sihirli paket' göndermeden önce, denetleyici operatörden bir parola ister; bu parolanın aynısı BPFDoor kötü amaçlı yazılımında sabit kodlanmış bir değerle eşleşmelidir. Kimliği doğrulanırsa, birkaç komuttan birini yürütebilir:
- Ters bir kabuk aç
- Yeni bağlantıları belirli bir bağlantı noktasındaki bir kabuğa yönlendir
- Arka kapının hala etkin olup olmadığını doğrulayın
Gelişmiş Yetenekler: Protokol Desteği ve Şifreleme
Denetleyici çok yönlüdür ve TCP, UDP ve ICMP protokollerini destekler. Ayrıca güvenli iletişim için isteğe bağlı bir şifreli mod içerir. Gelişmiş bir doğrudan mod, saldırganların enfekte olmuş makinelere anında bağlanmasını sağlar—yine, yalnızca doğru parola ile.
İleriye Bakış: BPF’nin Artan Tehdidi
BPF, siber saldırganlar için yeni ve büyük ölçüde keşfedilmemiş bir alan açıyor. Geleneksel savunmaları gizlice aşma yeteneği, onu sofistike kötü amaçlı yazılım yazarları için çekici bir araç haline getiriyor. Siber güvenlik uzmanları için, BPF tabanlı tehditleri anlamak ve analiz etmek, gelecekteki saldırıların önünde kalmak için çok önemlidir.
