BPFDoor Controller
Els investigadors de ciberseguretat han identificat un nou component de controlador vinculat a la coneguda porta del darrere BPFDoor. Aquest darrer descobriment es produeix enmig dels ciberatacs en curs dirigits als sectors de les telecomunicacions, les finances i el comerç minorista a Corea del Sud, Hong Kong, Myanmar, Malàisia i Egipte el 2024.
Taula de continguts
Excavació més profunda: capa inversa i capacitats de moviment lateral
El controlador recentment descobert pot obrir un shell invers, que és una eina poderosa per als atacants. Aquesta funcionalitat permet el moviment lateral, permetent als cibercriminals aprofundir en xarxes compromeses, prendre el control de més sistemes i, potencialment, accedir a dades sensibles.
Trencaclosques d’atribució: qui hi ha darrere del teló?
Aquests atacs s'han relacionat de manera provisional amb un grup d'amenaces anomenat Earth Bluecrow, també conegut per àlies com DecisiveArchitect, Red Dev 18 i Red Menshen. Tanmateix, aquesta atribució arriba amb una confiança mitjana. El motiu? El codi font de BPFDoor es va filtrar el 2022, la qual cosa significa que ara altres actors d'amenaça també l'estiguin aprofitant.
BPFDoor: una eina d’espionatge persistent i encoberta
BPFDoor és una porta del darrere de Linux exposada per primera vegada el 2022, tot i que ja s'havia utilitzat durant almenys un any, dirigida a organitzacions d'Àsia i Orient Mitjà. El que el diferencia és la seva capacitat de mantenir un accés encobert a llarg termini a màquines compromeses, perfecte per a operacions d'espionatge.
Com funciona: la màgia del filtre de paquets de Berkeley
El nom del programari maliciós prové de l'ús del filtre de paquets de Berkeley (BPF). BPF permet que el programari inspeccioni els paquets de xarxa entrants per a una seqüència específica de "Magic Byte". Quan es detecta aquest patró únic, activa la porta del darrere, fins i tot si hi ha un tallafoc. Això es deu a com funciona BPF a nivell del nucli, obviant les proteccions de tallafocs tradicionals. Tot i que és comuna als rootkits, aquesta tècnica és rara a les portes del darrere.
Un nou jugador: el controlador de programari maliciós no documentat
Una anàlisi recent revela que els servidors Linux compromesos també estaven infectats amb un controlador de programari maliciós indocumentat anteriorment. Un cop dins de la xarxa, aquest controlador facilita el moviment lateral i amplia l'abast de l'atacant a altres sistemes.
Abans d'enviar un "paquet màgic", el controlador demana a l'operador una contrasenya; aquesta mateixa contrasenya ha de coincidir amb un valor codificat en dur dins del programari maliciós BPFDoor. Si està autenticat, pot executar una d'aquestes ordres:
- Obriu una closca inversa
- Redirigeix noves connexions a un shell en un port específic
- Comproveu si la porta posterior encara està activa
Capacitats millorades: suport de protocol i xifratge
El controlador és versàtil, admet protocols TCP, UDP i ICMP. També inclou un mode xifrat opcional per a una comunicació segura. Un mode directe avançat permet als atacants connectar-se instantàniament a màquines infectades, de nou, només amb la contrasenya correcta.
Mirant cap al futur: l’amenaça en expansió de BPF
BPF obre un territori nou i en gran part inexplorat per als ciberatacants. La seva capacitat per superar les defenses tradicionals el converteix en una eina atractiva per als autors de programari maliciós sofisticats. Per als professionals de la ciberseguretat, entendre i analitzar les amenaces basades en BPF és crucial per mantenir-se per davant dels atacs futurs.
