Bösartiges Tool BPFDoor entzieht sich jahrelang der Erkennung

Sicherheitsforscher kamen kürzlich zu einer besorgniserregenden Enthüllung. Es stellte sich heraus, dass ein bösartiges Tool, das mit chinesischen Bedrohungsakteuren in Verbindung steht, auf „Tausenden“ von Linux-Systemen eingesetzt wurde. Der schockierende Teil dieser Nachricht ist, dass es der fraglichen Malware mit dem Namen BPFDoor gelungen ist, auf diesen Computern zu verbleiben und sich ungefähr fünf Jahre lang der Erkennung zu entziehen.

Anfang dieses Jahres haben Forscher der Sicherheitsfirma Pangu Lab eine weitere Backdoor-Malware mit BPF auf Linux-Systemen namens Bvp47 auseinandergenommen. BPF steht für "Berkeley Packet Filter", eine Technologie, die ursprünglich mit Linux-basierten Systemen in Verbindung gebracht und zur Netzwerkanalyse verwendet wurde.

Die neu entdeckte BPFDoor-Malware wurde entdeckt, nachdem sich herausstellte, dass es sich bei einer von mehreren Parteien analysierten Dateiprobe um einen Controller handelt, der zur BPFDoor-Malware gehört. Dieselbe Malware wurde mit einer Entität namens Red Menshen in Verbindung gebracht – einem fortgeschrittenen, hartnäckigen Bedrohungsakteur, der vermutlich von China aus operiert und auch unter dem Namen Red Dev 18 bekannt ist.

Das Backdoor-Tool ermöglicht es böswilligen Akteuren, Remote-Code-Ausführungsfunktionen auf einem kompromittierten System zu erlangen, ohne jemals neue Netzwerkports zu öffnen, um die Befehle weiterzuleiten, und ohne Firewall-Regeln zu ändern.

Die Malware ist auf den von ihr infizierten Linux-Systemen aufgrund mehrerer Faktoren besonders schwer zu erkennen. Das niedrige Profil, das es behält, niemals Firewall-Regeln ändert und niemals etwas Verdächtiges mit Ports macht, ist einer dieser Faktoren. Darüber hinaus kommuniziert BPFDoor nicht mit einem ausgehenden Befehls- und Steuerungsserver. Schließlich kann die Hintertür auch ihren eigenen Prozess umbenennen und als freundlicher Prozessname erscheinen, wenn das Opfersystem mit dem Befehl „ps aux“ untersucht wird.

Das Unternehmen hinter BPFDoor, Red Menshen oder Red Dev 18 wird mit Cyberspionage in Verbindung gebracht und hat zuvor Unternehmen ins Visier genommen, die in der Telekommunikation tätig sind und sich sowohl in Asien als auch im Nahen Osten befinden.

May 13, 2022