Ondsindet værktøj BPFDoor undgår registrering i årevis

Sikkerhedsforskere kom for nylig med en bekymrende afsløring. Et ondsindet værktøj forbundet med kinesiske trusselsaktører viste sig at være installeret på "tusindvis" af systemer, der kører Linux. Den chokerende del af den nyhed er, at den pågældende malware, kaldet BPFDoor, formåede at forblive på disse computere og undvige opdagelse i omkring fem år.

Tidligere i år valgte forskere med sikkerhedsfirmaet Pangu Lab en anden bagdørs-malware ved hjælp af BPF på Linux-systemer, kaldet Bvp47. BPF står for "Berkeley Packet Filter", en teknologi, der oprindeligt blev forbundet med Linux-baserede systemer og brugt til netværksanalyse.

Den nyopdagede BPFDoor-malware blev opdaget, efter at en filprøve, der blev analyseret af flere parter, viste sig at være en controller, der tilhører BPFDoor-malwaren. Den samme malware var forbundet med en enhed kaldet Red Menshen - en avanceret persistent trussel aktør, der menes at operere fra Kina og også er kendt af håndtaget Red Dev 18.

Bagdørsværktøjet giver ondsindede aktører mulighed for at opnå fjernudførelse af kode på et kompromitteret system uden nogensinde at åbne nogen nye netværksporte for at videresende kommandoerne igennem og uden at ændre firewallreglerne.

Malwaren er særlig svær at opdage på de Linux-systemer, den inficerer på grund af flere faktorer. Den lave profil, den holder, aldrig ændre firewall-regler og aldrig gøre noget mistænkeligt med porte er en af disse faktorer. Derudover kommunikerer BPFDoor ikke med en udgående kommando- og kontrolserver. Endelig kan bagdøren også omdøbe sin egen proces og vise sig som et venligt procesnavn, hvis offersystemet undersøges ved hjælp af kommandoen "ps aux".

Enheden bag BPFDoor, Red Menshen eller Red Dev 18, er forbundet med cyberspionage og har tidligere målrettet enheder, der arbejder inden for telekommunikation og er placeret i både Asien og Mellemøsten.

May 13, 2022