BPFDoor Controller
Os pesquisadores de segurança cibernética identificaram um novo componente de controle ligado ao notório backdoor BPFDoor. Esta descoberta ocorre em meio a ataques cibernéticos em andamento contra os setores de telecomunicações, finanças e varejo na Coreia do Sul, Hong Kong, Mianmar, Malásia e Egito em 2024.
Índice
Indo Mais Fundo: Capacidades de Movimento Lateral e Concha Reversa
O controlador recém-descoberto pode abrir um shell reverso, uma ferramenta poderosa para invasores. Essa funcionalidade permite movimentação lateral, permitindo que os cibercriminosos explorem mais profundamente as redes comprometidas, assumam o controle de mais sistemas e, potencialmente, acessem dados confidenciais.
Quebra-Cabeça de Atribuição: Quem está por Trás da Cortina?
Esses ataques foram provisoriamente vinculados a um grupo de ameaças denominado Earth Bluecrow, também conhecido por pseudônimos como DecisiveArchitect, Red Dev 18 e Red Menshen. No entanto, essa atribuição é de confiança moderada. O motivo? O código-fonte do BPFDoor vazou em 2022, o que significa que outros agentes de ameaças também podem estar se aproveitando dele.
BPFDoor: Uma Ferramenta de Espionagem Persistente e Secreta
O BPFDoor é um backdoor do Linux que foi exposto pela primeira vez em 2022, embora já estivesse em uso há pelo menos um ano, visando organizações na Ásia e no Oriente Médio. O que o diferencia é sua capacidade de manter acesso secreto e de longo prazo às máquinas comprometidas — perfeito para operações de espionagem.
Como Funciona: A Magia do Filtro de Pacotes de Berkeley
O nome do malware vem do uso do Berkeley Packet Filter (BPF). O BPF permite que o software inspecione os pacotes de rede recebidos em busca de uma sequência específica de "Magic Byte". Quando esse padrão único é detectado, ele aciona o backdoor, mesmo que haja um firewall instalado. Isso se deve à forma como o BPF opera no nível do kernel, ignorando as proteções tradicionais de firewall. Embora comum em rootkits, essa técnica é rara em backdoors.
Um Novo Jogador: O Controlador de Malware não Documentado
Análises recentes revelam que servidores Linux comprometidos também foram infectados com um controlador de malware não documentado anteriormente. Uma vez dentro da rede, esse controlador facilita a movimentação lateral e estende o alcance do invasor a outros sistemas.
Antes de enviar um "pacote mágico", o controlador solicita uma senha ao operador — essa mesma senha deve corresponder a um valor codificado no malware BPFDoor. Se autenticado, ele pode executar um dos seguintes comandos:
- Abra um shell reverso
- Redirecionar novas conexões para um shell em uma porta específica
- Verifique se o backdoor ainda está ativo
Recursos Aprimorados: Suporte ao Protocolo e Criptografia
O controlador é versátil, suportando os protocolos TCP, UDP e ICMP. Ele também possui um modo criptografado opcional para comunicação segura. Um modo direto avançado permite que invasores se conectem instantaneamente às máquinas infectadas — novamente, apenas com a senha correta.
Olhando para o Futuro: A Ameaça Crescente do BPF
O BPF abre um território novo e amplamente inexplorado para ciberataques. Sua capacidade de burlar as defesas tradicionais o torna uma ferramenta atraente para autores de malware sofisticados. Para profissionais de segurança cibernética, compreender e analisar ameaças baseadas em BPF é crucial para se antecipar a ataques futuros.
