Контролер BPFDoor
Дослідники кібербезпеки виявили новий компонент контролера, пов’язаний із горезвісним бекдором BPFDoor. Це останнє відкриття сталося на тлі триваючих кібератак, націлених на сектори телекомунікацій, фінансів і роздрібної торгівлі в Південній Кореї, Гонконгу, М’янмі, Малайзії та Єгипті в 2024 році.
Зміст
Копання глибше: реверсивний корпус і можливості бічного руху
Нещодавно виявлений контролер може відкривати зворотну оболонку, яка є потужним інструментом для зловмисників. Ця функція дозволяє латерально рухатися, дозволяючи кіберзлочинцям проникати глибше в скомпрометовані мережі, отримувати контроль над більшою кількістю систем і потенційно отримувати доступ до конфіденційних даних.
Головоломка про атрибуцію: хто за завісою?
Ці атаки попередньо пов’язують із загрозливою групою під назвою Earth Bluecrow, також відомою під такими псевдонімами, як DecisiveArchitect, Red Dev 18 і Red Menshen. Однак ця атрибуція є середньою впевненістю. Причина? У 2022 році стався витік вихідного коду BPFDoor, а це означає, що інші загрози також можуть використовувати його.
BPFDoor: постійний і прихований інструмент шпигунства
BPFDoor — це бекдор Linux, який вперше був оприлюднений у 2022 році, хоча він уже використовувався принаймні рік, націлений на організації в Азії та на Близькому Сході. Що відрізняє його від інших, так це його здатність підтримувати тривалий таємний доступ до скомпрометованих машин, що ідеально підходить для шпигунських операцій.
Як це працює: Магія пакетного фільтра Берклі
Назва шкідливої програми походить від використання фільтра пакетів Берклі (BPF). BPF дозволяє програмному забезпеченню перевіряти вхідні мережеві пакети на наявність певної послідовності «Magic Byte». Коли цей унікальний шаблон виявляється, він запускає бекдор, навіть якщо встановлено брандмауер. Це пов’язано з тим, як BPF працює на рівні ядра, минаючи традиційний захист брандмауера. Незважаючи на те, що цей прийом поширений у руткітах, він рідко зустрічається у бекдорах.
Новий програвач: незадокументований контролер шкідливих програм
Недавній аналіз показує, що скомпрометовані сервери Linux також були заражені раніше незадокументованим контролером зловмисного програмного забезпечення. Потрапивши в мережу, цей контролер полегшує бічний рух і розширює доступ зловмисника до інших систем.
Перед надсиланням «чарівного пакету» контролер запитує в оператора пароль — цей самий пароль має збігатися із жорстко закодованим значенням у шкідливій програмі BPFDoor. Якщо пройшов автентифікацію, він може виконувати одну з кількох команд:
- Відкрийте зворотну оболонку
- Перенаправляйте нові підключення до оболонки на певному порту
- Перевірте, чи бекдор все ще активний
Розширені можливості: підтримка протоколів і шифрування
Контролер є універсальним, підтримує протоколи TCP, UDP і ICMP. Він також має додатковий режим шифрування для безпечного зв’язку. Розширений прямий режим дозволяє зловмисникам миттєво підключатися до заражених машин — знову ж таки, лише за допомогою правильного пароля.
Погляд уперед: зростаюча загроза БНФ
БНФ відкриває для кіберзловмисників нову, ще багато в чому незвідану територію. Його здатність проникати повз традиційний захист робить його привабливим інструментом для досвідчених авторів шкідливих програм. Для фахівців з кібербезпеки розуміння та аналіз загроз на основі BPF має вирішальне значення, щоб випереджати майбутні атаки.
