BPFDoor Controller
Istraživači kibernetičke sigurnosti identificirali su novu komponentu kontrolera povezanu s ozloglašenim stražnjim vratima BPFDoor. Ovo najnovije otkriće dolazi usred kibernetičkih napada koji su u tijeku usmjereni na sektore telekomunikacija, financija i maloprodaje u Južnoj Koreji, Hong Kongu, Mianmaru, Maleziji i Egiptu 2024. godine.
Sadržaj
Kopanje dublje: Mogućnost okretanja školjke i bočnog pomicanja
Novootkriveni kontroler može otvoriti obrnutu ljusku, što je moćan alat za napadače. Ova funkcionalnost omogućuje bočno kretanje—dopuštajući cyber kriminalcima da kopaju dublje u ugrožene mreže, preuzmu kontrolu nad više sustava i potencijalno pristupe osjetljivim podacima.
Zagonetka atribucije: Tko je iza zavjese?
Ovi napadi su provizorno povezani s prijetnjom grupom pod nazivom Earth Bluecrow, također poznatom pod aliasima kao što su DecisiveArchitect, Red Dev 18 i Red Menshen. Međutim, ovo pripisivanje dolazi sa srednjom pouzdanošću. razlog? Izvorni kod BPFDoor-a procurio je 2022., što znači da ga sada mogu koristiti i drugi akteri prijetnji.
BPFDoor: uporan i tajni alat za špijunažu
BPFDoor je backdoor za Linux prvi put otkriven 2022., iako je već bio u upotrebi najmanje godinu dana, ciljajući na organizacije u Aziji i na Bliskom istoku. Ono što ga izdvaja je njegova sposobnost održavanja dugotrajnog, tajnog pristupa kompromitiranim strojevima—savršeno za špijunske operacije.
Kako radi: Čarolija Berkeley paketnog filtra
Ime zlonamjernog softvera dolazi od upotrebe Berkeley Packet Filtera (BPF). BPF omogućuje softveru da pregleda dolazne mrežne pakete za određeni 'Magic Byte' niz. Kada se otkrije ovaj jedinstveni obrazac, on pokreće stražnja vrata—čak i ako je postavljen vatrozid. To je zbog načina na koji BPF radi na razini jezgre, zaobilazeći tradicionalne zaštite vatrozida. Iako je uobičajena u rootkitovima, ova tehnika je rijetka u backdoorima.
Novi igrač: Nedokumentirani kontroler zlonamjernog softvera
Nedavna analiza otkriva da su kompromitirani Linux poslužitelji također bili zaraženi prethodno nedokumentiranim kontrolerom zlonamjernog softvera. Nakon što uđe u mrežu, ovaj kontroler olakšava bočno kretanje i proširuje napadačev doseg preko drugih sustava.
Prije slanja 'čarobnog paketa', kontroler traži od operatera lozinku—ta ista lozinka mora odgovarati tvrdo kodiranoj vrijednosti unutar zlonamjernog softvera BPFDoor. Ako je autentificiran, može izvršiti jednu od nekoliko naredbi:
- Otvorite obrnutu ljusku
- Preusmjerite nove veze na ljusku na određenom priključku
- Provjerite je li backdoor još uvijek aktivan
Poboljšane mogućnosti: podrška protokola i šifriranje
Kontroler je svestran, podržava TCP, UDP i ICMP protokole. Također ima izborni šifrirani način rada za sigurnu komunikaciju. Napredni izravni način rada omogućuje napadačima trenutno povezivanje sa zaraženim računalima—opet, samo s ispravnom lozinkom.
Pogled unaprijed: rastuća prijetnja BPF-a
BPF otvara novo i uglavnom neistraženo područje za cyber napadače. Njegova sposobnost da se provuče pored tradicionalnih obrana čini ga privlačnim alatom za sofisticirane autore zlonamjernog softvera. Za stručnjake koji se bave kibernetičkom sigurnošću, razumijevanje i analiza prijetnji temeljenih na BPF-u ključno je da budu ispred budućih napada.
