BPFDoor kontrolieris
Kiberdrošības pētnieki ir identificējuši jaunu kontroliera komponentu, kas saistīts ar bēdīgi slaveno BPFDoor aizmugures durvīm. Šis jaunākais atklājums notiek saistībā ar notiekošajiem kiberuzbrukumiem, kuru mērķis ir telekomunikāciju, finanšu un mazumtirdzniecības nozares Dienvidkorejā, Honkongā, Mjanmā, Malaizijā un Ēģiptē 2024. gadā.
Satura rādītājs
Rakt dziļāk: apgrieztā apvalka un sānu kustības iespējas
Jaunatklātais kontrolieris var atvērt reverso apvalku, kas ir spēcīgs rīks uzbrucējiem. Šī funkcionalitāte nodrošina sānu kustību, ļaujot kibernoziedzniekiem iedziļināties apdraudētos tīklos, kontrolēt vairāk sistēmu un, iespējams, piekļūt sensitīviem datiem.
Attiecinājuma mīkla: kas stāv aiz priekškara?
Šie uzbrukumi ir provizoriski saistīti ar draudu grupu Earth Bluecrow, kas pazīstama arī ar tādiem aizstājvārdiem kā DecisiveArchitect, Red Dev 18 un Red Menshen. Tomēr šim attiecinājumam ir vidēja pārliecība. Iemesls? BPFDoor pirmkods tika nopludināts 2022. gadā, kas nozīmē, ka tagad to var izmantot arī citi apdraudējuma dalībnieki.
BPFDoor: pastāvīgs un slēpts spiegošanas rīks
BPFDoor ir Linux aizmugures durvis, kas pirmo reizi tika atklātas 2022. gadā, lai gan tās jau bija izmantotas vismaz gadu, un tās bija paredzētas organizācijām Āzijā un Tuvajos Austrumos. To atšķir tā spēja nodrošināt ilgstošu, slēptu piekļuvi apdraudētām iekārtām, kas ir lieliski piemērotas spiegošanas operācijām.
Kā tas darbojas: Bērklija pakešu filtra burvība
Ļaunprātīgas programmatūras nosaukums cēlies no tā, ka tā izmanto Berkeley pakešu filtru (BPF). BPF ļauj programmatūrai pārbaudīt ienākošās tīkla paketes noteiktai "Magic Byte" secībai. Kad tiek atklāts šis unikālais modelis, tas iedarbina aizmugures durvis, pat ja ir uzstādīts ugunsmūris. Tas ir saistīts ar to, kā BPF darbojas kodola līmenī, apejot tradicionālos ugunsmūra aizsardzību. Lai gan šis paņēmiens ir izplatīts sakņu komplektos, tas ir reti sastopams aizmugurējās durvīm.
Jauns atskaņotājs: nedokumentēta ļaunprātīgas programmatūras kontrolieris
Nesen veiktā analīze atklāj, ka uzlauztie Linux serveri arī bija inficēti ar iepriekš nedokumentētu ļaunprātīgas programmatūras kontrolieri. Nokļūstot tīklā, šis kontrolieris atvieglo sānu kustību un paplašina uzbrucēja sasniedzamību citās sistēmās.
Pirms "burvju paketes" nosūtīšanas kontrolieris pieprasa operatoram ievadīt paroli — šai pašai parolei ir jāatbilst BPFDoor ļaunprātīgas programmatūras kodētai vērtībai. Ja tas ir autentificēts, tas var izpildīt vienu no vairākām komandām:
- Atveriet reverso apvalku
- Pārvirzīt jaunus savienojumus uz apvalku noteiktā portā
- Pārbaudiet, vai aizmugurējās durvis joprojām ir aktīvas
Uzlabotas iespējas: protokolu atbalsts un šifrēšana
Kontrolieris ir daudzpusīgs, atbalsta TCP, UDP un ICMP protokolus. Tam ir arī izvēles šifrēts režīms drošai saziņai. Uzlabotais tiešais režīms ļauj uzbrucējiem uzreiz izveidot savienojumu ar inficētām iekārtām — atkal tikai ar pareizo paroli.
Raugoties uz priekšu: pieaugošie BPF draudi
BPF atver jaunu un lielākoties neizpētītu teritoriju kiberuzbrucējiem. Tā spēja apiet tradicionālos aizsardzības līdzekļus padara to par pievilcīgu rīku pieredzējušiem ļaunprātīgas programmatūras autoriem. Kiberdrošības profesionāļiem ir ļoti svarīgi izprast un analizēt uz BPF balstītus draudus, lai izvairītos no turpmākiem uzbrukumiem.
