ตัวควบคุมประตู BPF

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุส่วนประกอบของตัวควบคุมใหม่ที่เชื่อมโยงกับแบ็คดอร์ BPFDoor ที่มีชื่อเสียง การค้นพบล่าสุดนี้เกิดขึ้นท่ามกลางการโจมตีทางไซเบอร์ที่ยังคงเกิดขึ้นอย่างต่อเนื่อง โดยมีเป้าหมายที่ภาคโทรคมนาคม การเงิน และค้าปลีกในเกาหลีใต้ ฮ่องกง เมียนมาร์ มาเลเซีย และอียิปต์ในปี 2024

เจาะลึกยิ่งขึ้น: ความสามารถในการเคลื่อนที่แบบย้อนกลับและด้านข้าง

ตัวควบคุมที่เพิ่งค้นพบใหม่สามารถเปิดเชลล์ย้อนกลับ ซึ่งเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้โจมตี ฟังก์ชันนี้ช่วยให้สามารถเคลื่อนที่ในแนวขวางได้ ทำให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถเจาะลึกเข้าไปในเครือข่ายที่ถูกบุกรุกได้มากขึ้น เข้าควบคุมระบบได้มากขึ้น และอาจเข้าถึงข้อมูลที่ละเอียดอ่อนได้

ปริศนาแห่งการอ้างอิง: ใครอยู่หลังม่าน?

การโจมตีเหล่านี้มีความเชื่อมโยงอย่างชั่วคราวกับกลุ่มภัยคุกคามที่มีชื่อว่า Earth Bluecrow ซึ่งรู้จักกันในชื่ออื่น เช่น DecisiveArchitect, Red Dev 18 และ Red Menshen อย่างไรก็ตาม การระบุแหล่งที่มานี้มีความชัดเจนในระดับปานกลาง สาเหตุคืออะไร? ซอร์สโค้ดของ BPFDoor รั่วไหลในปี 2022 ซึ่งหมายความว่าผู้ก่อภัยคุกคามรายอื่นอาจใช้ประโยชน์จากซอร์สโค้ดนี้เช่นกัน

BPFDoor: เครื่องมือจารกรรมที่ซ่อนเร้นและต่อเนื่อง

BPFDoor คือแบ็คดอร์ Linux ที่ถูกเปิดเผยครั้งแรกในปี 2022 แม้ว่าจะมีการใช้งานมาแล้วอย่างน้อยหนึ่งปี โดยกำหนดเป้าหมายไปที่องค์กรในเอเชียและตะวันออกกลาง สิ่งที่ทำให้ BPFDoor แตกต่างคือความสามารถในการรักษาการเข้าถึงแบบลับๆ ในระยะยาวไปยังเครื่องที่ถูกบุกรุก ซึ่งเหมาะอย่างยิ่งสำหรับปฏิบัติการจารกรรม

วิธีการทำงาน: ความมหัศจรรย์ของ Berkeley Packet Filter

ชื่อของมัลแวร์มาจากการใช้ Berkeley Packet Filter (BPF) BPF ช่วยให้ซอฟต์แวร์ตรวจสอบแพ็คเก็ตเครือข่ายขาเข้าสำหรับลำดับ 'Magic Byte' ที่เฉพาะเจาะจง เมื่อตรวจพบรูปแบบเฉพาะนี้ จะทำให้แบ็คดอร์ทำงานแม้ว่าจะมีไฟร์วอลล์อยู่ก็ตาม เนื่องมาจากวิธีการทำงานของ BPF ในระดับเคอร์เนล ซึ่งหลีกเลี่ยงการป้องกันไฟร์วอลล์แบบเดิม แม้ว่าจะพบได้ทั่วไปในรูทคิท แต่เทคนิคนี้พบได้น้อยในแบ็คดอร์

ผู้เล่นรายใหม่: ตัวควบคุมมัลแวร์ที่ไม่มีเอกสาร

การวิเคราะห์ล่าสุดเผยให้เห็นว่าเซิร์ฟเวอร์ Linux ที่ถูกบุกรุกยังติดมัลแวร์คอนโทรลเลอร์ที่ไม่เคยบันทึกไว้มาก่อนอีกด้วย เมื่อเข้าไปในเครือข่ายแล้ว คอนโทรลเลอร์นี้จะอำนวยความสะดวกในการเคลื่อนที่ในแนวขวางและขยายขอบเขตของผู้โจมตีไปยังระบบอื่นๆ

ก่อนที่จะส่ง 'แพ็กเก็ตวิเศษ' ตัวควบคุมจะขอรหัสผ่านจากผู้ควบคุม ซึ่งรหัสผ่านเดียวกันนี้จะต้องตรงกับค่าที่เขียนโค้ดไว้ตายตัวภายในมัลแวร์ BPFDoor หากผ่านการตรวจสอบแล้ว ตัวควบคุมสามารถดำเนินการคำสั่งใดคำสั่งหนึ่งจากหลายคำสั่งต่อไปนี้:

• เปิดเชลล์แบบย้อนกลับ

ความสามารถที่เพิ่มขึ้น: การรองรับโปรโตคอลและการเข้ารหัส

ตัวควบคุมนี้มีความอเนกประสงค์ รองรับโปรโตคอล TCP, UDP และ ICMP นอกจากนี้ยังมีโหมดเข้ารหัสเสริมสำหรับการสื่อสารที่ปลอดภัย โหมดโดยตรงขั้นสูงช่วยให้ผู้โจมตีสามารถเชื่อมต่อกับเครื่องที่ติดไวรัสได้ทันที โดยใช้รหัสผ่านที่ถูกต้องเท่านั้น

มองไปข้างหน้า: ภัยคุกคามที่ขยายตัวของ BPF

BPF เปิดพื้นที่ใหม่ที่ยังไม่มีใครสำรวจมากนักสำหรับผู้โจมตีทางไซเบอร์ ความสามารถในการหลบเลี่ยงการป้องกันแบบเดิมทำให้เป็นเครื่องมือที่น่าสนใจสำหรับผู้สร้างมัลแวร์ที่ซับซ้อน สำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ การทำความเข้าใจและวิเคราะห์ภัยคุกคามจาก BPF ถือเป็นสิ่งสำคัญในการก้าวข้ามการโจมตีในอนาคต