Bộ điều khiển cửa BPF
Các nhà nghiên cứu an ninh mạng đã xác định được một thành phần bộ điều khiển mới có liên quan đến cửa hậu BPFDoor khét tiếng. Phát hiện mới nhất này xuất hiện trong bối cảnh các cuộc tấn công mạng đang diễn ra nhắm vào các lĩnh vực viễn thông, tài chính và bán lẻ trên khắp Hàn Quốc, Hồng Kông, Myanmar, Malaysia và Ai Cập vào năm 2024.
Mục lục
Đào sâu hơn: Khả năng di chuyển ngược vỏ và ngang
Bộ điều khiển mới được phát hiện có thể mở một vỏ ngược, đây là một công cụ mạnh mẽ cho kẻ tấn công. Chức năng này cho phép di chuyển ngang—cho phép tội phạm mạng đào sâu hơn vào các mạng bị xâm phạm, kiểm soát nhiều hệ thống hơn và có khả năng truy cập dữ liệu nhạy cảm.
Câu đố về sự quy kết: Ai là người đứng sau bức màn?
Những cuộc tấn công này đã được liên kết tạm thời với một nhóm đe dọa có tên là Earth Bluecrow, còn được gọi bằng các bí danh như DecisiveArchitect, Red Dev 18 và Red Menshen. Tuy nhiên, sự quy kết này có độ tin cậy trung bình. Lý do là gì? Mã nguồn của BPFDoor đã bị rò rỉ vào năm 2022, nghĩa là các tác nhân đe dọa khác hiện cũng có thể đang lợi dụng nó.
BPFDoor: Một công cụ gián điệp bí mật và dai dẳng
BPFDoor là một backdoor Linux lần đầu tiên bị phát hiện vào năm 2022, mặc dù nó đã được sử dụng trong ít nhất một năm, nhắm vào các tổ chức ở Châu Á và Trung Đông. Điểm khác biệt của nó là khả năng duy trì quyền truy cập bí mật, lâu dài vào các máy bị xâm phạm—hoàn hảo cho các hoạt động gián điệp.
Cách thức hoạt động: Sự kỳ diệu của bộ lọc gói Berkeley
Tên của phần mềm độc hại này xuất phát từ việc sử dụng Berkeley Packet Filter (BPF). BPF cho phép phần mềm kiểm tra các gói tin mạng đến để tìm một chuỗi 'Magic Byte' cụ thể. Khi phát hiện ra mẫu duy nhất này, nó sẽ kích hoạt cửa hậu—ngay cả khi tường lửa đã được thiết lập. Điều này là do cách BPF hoạt động ở cấp độ hạt nhân, bỏ qua các biện pháp bảo vệ tường lửa truyền thống. Mặc dù phổ biến trong rootkit, kỹ thuật này hiếm khi xảy ra trong các cửa hậu.
Một người chơi mới: Bộ điều khiển phần mềm độc hại không có giấy tờ
Phân tích gần đây cho thấy các máy chủ Linux bị xâm phạm cũng bị nhiễm một bộ điều khiển phần mềm độc hại chưa được ghi chép trước đó. Khi đã vào bên trong mạng, bộ điều khiển này tạo điều kiện cho việc di chuyển ngang và mở rộng phạm vi của kẻ tấn công trên các hệ thống khác.
Trước khi gửi 'gói ma thuật', bộ điều khiển sẽ nhắc người vận hành nhập mật khẩu—mật khẩu này phải khớp với giá trị được mã hóa cứng trong phần mềm độc hại BPFDoor. Nếu được xác thực, nó có thể thực hiện một trong một số lệnh sau:
- Mở một vỏ ngược
- Chuyển hướng kết nối mới đến một shell trên một cổng cụ thể
- Kiểm tra xem cửa sau có còn hoạt động không
Khả năng nâng cao: Hỗ trợ giao thức và mã hóa
Bộ điều khiển này đa năng, hỗ trợ các giao thức TCP, UDP và ICMP. Nó cũng có chế độ mã hóa tùy chọn để giao tiếp an toàn. Chế độ trực tiếp nâng cao cho phép kẻ tấn công kết nối ngay lập tức với các máy bị nhiễm—một lần nữa, chỉ với mật khẩu chính xác.
Nhìn về phía trước: Mối đe dọa ngày càng tăng của BPF
BPF mở ra lãnh thổ mới và phần lớn chưa được khám phá cho những kẻ tấn công mạng. Khả năng vượt qua các biện pháp phòng thủ truyền thống khiến nó trở thành một công cụ hấp dẫn đối với những tác giả phần mềm độc hại tinh vi. Đối với các chuyên gia an ninh mạng, việc hiểu và phân tích các mối đe dọa dựa trên BPF là rất quan trọng để đi trước các cuộc tấn công trong tương lai.
