Контроллер двери BPFDoor
Исследователи кибербезопасности обнаружили новый компонент контроллера, связанный с печально известным бэкдором BPFDoor. Это последнее открытие произошло на фоне продолжающихся кибератак, нацеленных на секторы телекоммуникаций, финансов и розничной торговли в Южной Корее, Гонконге, Мьянме, Малайзии и Египте в 2024 году.
Оглавление
Копаем глубже: возможности обратной оболочки и бокового перемещения
Недавно обнаруженный контроллер может открыть обратную оболочку, которая является мощным инструментом для злоумышленников. Эта функциональность обеспечивает горизонтальное перемещение, позволяя киберпреступникам глубже проникать в скомпрометированные сети, захватывать больше систем и потенциально получать доступ к конфиденциальным данным.
Атрибутивная головоломка: кто стоит за кулисами?
Эти атаки предварительно связывают с группой угроз, получившей название Earth Bluecrow, также известной под псевдонимами DecisiveArchitect, Red Dev 18 и Red Menshen. Однако эта атрибуция имеет среднюю степень уверенности. Причина? Исходный код BPFDoor был раскрыт в 2022 году, а это означает, что теперь его могут использовать и другие злоумышленники.
BPFDoor: надежный и скрытный инструмент шпионажа
BPFDoor — это бэкдор Linux, впервые обнаруженный в 2022 году, хотя он уже использовался по крайней мере год, нацеленный на организации в Азии и на Ближнем Востоке. Его отличает способность поддерживать долгосрочный, скрытый доступ к скомпрометированным машинам — идеально подходит для шпионских операций.
Как это работает: магия пакетного фильтра Беркли
Название вредоносной программы происходит от использования ею Berkeley Packet Filter (BPF). BPF позволяет программному обеспечению проверять входящие сетевые пакеты на наличие определенной последовательности «Magic Byte». При обнаружении этого уникального шаблона активируется бэкдор — даже если установлен брандмауэр. Это связано с тем, как BPF работает на уровне ядра, обходя традиционную защиту брандмауэра. Хотя этот метод распространен в руткитах, в бэкдорах он встречается редко.
Новый игрок: недокументированный контроллер вредоносных программ
Недавний анализ показал, что скомпрометированные серверы Linux также были заражены ранее недокументированным контроллером вредоносного ПО. Попав в сеть, этот контроллер облегчает горизонтальное перемещение и расширяет возможности злоумышленника на другие системы.
Перед отправкой «волшебного пакета» контроллер запрашивает у оператора пароль — этот же пароль должен соответствовать жестко закодированному значению во вредоносной программе BPFDoor. В случае аутентификации он может выполнить одну из нескольких команд:
- Открыть обратную оболочку
- Перенаправлять новые соединения в оболочку на определенном порту
- Проверьте, активен ли еще бэкдор
Расширенные возможности: поддержка протоколов и шифрование
Контроллер универсален, поддерживает протоколы TCP, UDP и ICMP. Он также имеет дополнительный режим шифрования для безопасной связи. Расширенный прямой режим позволяет злоумышленникам мгновенно подключаться к зараженным машинам — опять же, только с правильным паролем.
Взгляд в будущее: растущая угроза БПФ
BPF открывает новую и в значительной степени неизведанную территорию для кибератак. Его способность обходить традиционную защиту делает его привлекательным инструментом для авторов сложных вредоносных программ. Для специалистов по кибербезопасности понимание и анализ угроз на основе BPF имеет решающее значение, чтобы оставаться впереди будущих атак.
