Kontroler drzwi BPF
Badacze cyberbezpieczeństwa zidentyfikowali nowy komponent kontrolera powiązany z niesławnym backdoorem BPFDoor. To najnowsze odkrycie pojawia się w trakcie trwających cyberataków na sektory telekomunikacji, finansów i handlu detalicznego w Korei Południowej, Hongkongu, Mjanmie, Malezji i Egipcie w 2024 r.
Spis treści
Kopanie głębiej: odwrócona skorupa i możliwości ruchu bocznego
Nowo odkryty kontroler może otworzyć odwrotną powłokę, co jest potężnym narzędziem dla atakujących. Ta funkcjonalność umożliwia ruch boczny — pozwalając cyberprzestępcom na głębsze zagłębianie się w naruszone sieci, przejmowanie kontroli nad większą liczbą systemów i potencjalny dostęp do poufnych danych.
Zagadka atrybucji: Kto kryje się za kurtyną?
Te ataki zostały wstępnie powiązane z grupą zagrożeń o nazwie Earth Bluecrow, znaną również pod pseudonimami DecisiveArchitect, Red Dev 18 i Red Menshen. Jednak przypisanie to jest średnio wiarygodne. Powód? Kod źródłowy BPFDoor wyciekł w 2022 r., co oznacza, że inni aktorzy zagrożeń mogą teraz również z niego korzystać.
BPFDoor: Uporczywe i ukryte narzędzie szpiegowskie
BPFDoor to backdoor Linuksa ujawniony po raz pierwszy w 2022 r., chociaż był już używany od co najmniej roku, atakując organizacje w Azji i na Bliskim Wschodzie. Wyróżnia go zdolność do utrzymywania długoterminowego, tajnego dostępu do zainfekowanych maszyn — idealne do operacji szpiegowskich.
Jak to działa: Magia filtra pakietów Berkeley
Nazwa malware pochodzi od użycia przez niego Berkeley Packet Filter (BPF). BPF pozwala oprogramowaniu na sprawdzanie przychodzących pakietów sieciowych pod kątem określonej sekwencji „Magic Byte”. Gdy ten unikalny wzór zostanie wykryty, uruchamia się tylne wejście — nawet jeśli zapora jest na miejscu. Wynika to ze sposobu działania BPF na poziomie jądra, omijając tradycyjne zabezpieczenia zapory. Chociaż jest to powszechne w rootkitach, ta technika jest rzadka w przypadku tylnych drzwi.
Nowy gracz: Nieudokumentowany kontroler złośliwego oprogramowania
Niedawna analiza ujawnia, że zagrożone serwery Linux zostały również zainfekowane wcześniej nieudokumentowanym kontrolerem malware. Po wejściu do sieci kontroler ten ułatwia ruch boczny i rozszerza zasięg atakującego na inne systemy.
Przed wysłaniem „magicznego pakietu” kontroler prosi operatora o podanie hasła — to samo hasło musi odpowiadać wartości zakodowanej na stałe w złośliwym oprogramowaniu BPFDoor. Jeśli zostanie uwierzytelnione, może wykonać jedno z kilku poleceń:
- Otwórz odwrotną powłokę
- Przekieruj nowe połączenia do powłoki na określonym porcie
- Sprawdź, czy tylne wejście jest nadal aktywne
Rozszerzone możliwości: obsługa protokołów i szyfrowanie
Kontroler jest wszechstronny, obsługuje protokoły TCP, UDP i ICMP. Posiada również opcjonalny tryb szyfrowania dla bezpiecznej komunikacji. Zaawansowany tryb bezpośredni pozwala atakującym na natychmiastowe połączenie się z zainfekowanymi maszynami — ponownie, tylko z prawidłowym hasłem.
Spojrzenie w przyszłość: rosnące zagrożenie BPF
BPF otwiera nowe i w dużej mierze niezbadane terytorium dla cyberprzestępców. Jego zdolność do przemykania się przez tradycyjne zabezpieczenia sprawia, że jest atrakcyjnym narzędziem dla wyrafinowanych autorów złośliwego oprogramowania. Dla profesjonalistów z dziedziny cyberbezpieczeństwa zrozumienie i analiza zagrożeń opartych na BPF ma kluczowe znaczenie dla wyprzedzania przyszłych ataków.
