Κακόβουλο εργαλείο Το BPFDoor αποφεύγει τον εντοπισμό για χρόνια

Ερευνητές ασφαλείας έκαναν πρόσφατα μια ανησυχητική αποκάλυψη. Ένα κακόβουλο εργαλείο που σχετίζεται με κινέζους παράγοντες απειλών αποδείχθηκε ότι είχε αναπτυχθεί σε "χιλιάδες" συστήματα που εκτελούν Linux. Το συγκλονιστικό μέρος αυτής της είδησης είναι ότι το εν λόγω κακόβουλο λογισμικό, που ονομάστηκε BPFDoor, κατάφερε να παραμείνει σε αυτούς τους υπολογιστές και να αποφύγει τον εντοπισμό για περίπου πέντε χρόνια.

Νωρίτερα αυτό το έτος, ερευνητές της εταιρείας ασφαλείας Pangu Lab διάλεξαν ένα άλλο κακόβουλο λογισμικό backdoor χρησιμοποιώντας BPF σε συστήματα Linux, που ονομάζεται Bvp47. Το BPF σημαίνει "Berkeley Packet Filter", μια τεχνολογία που αρχικά συνδέθηκε με συστήματα που βασίζονται σε Linux και χρησιμοποιήθηκε για ανάλυση δικτύου.

Το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό BPFDoor ανακαλύφθηκε αφού ένα δείγμα αρχείου που αναλύθηκε από πολλά μέρη αποδείχθηκε ότι ήταν ελεγκτής που ανήκει στο κακόβουλο λογισμικό BPFDoor. Το ίδιο κακόβουλο λογισμικό συσχετίστηκε με μια οντότητα που ονομάζεται Red Menshen - ένας προηγμένος παράγοντας επίμονης απειλής που πιστεύεται ότι δρα εκτός Κίνας και είναι επίσης γνωστός με τη λαβή Red Dev 18.

Το εργαλείο backdoor επιτρέπει στους κακόβουλους φορείς να αποκτήσουν δυνατότητες απομακρυσμένης εκτέλεσης κώδικα σε ένα παραβιασμένο σύστημα χωρίς να ανοίξουν ποτέ νέες θύρες δικτύου για να προωθήσουν τις εντολές μέσω και χωρίς να τροποποιήσουν κανέναν κανόνα του τείχους προστασίας.

Το κακόβουλο λογισμικό είναι ιδιαίτερα δύσκολο να εντοπιστεί στα συστήματα Linux που μολύνει λόγω πολλών παραγόντων. Το χαμηλό προφίλ που διατηρεί, δεν αλλάζει ποτέ τους κανόνες του τείχους προστασίας και δεν κάνει ποτέ τίποτα ύποπτο με τις θύρες είναι ένας από αυτούς τους παράγοντες. Επιπλέον, το BPFDoor δεν επικοινωνεί με εξερχόμενο διακομιστή εντολών και ελέγχου. Τέλος, η κερκόπορτα μπορεί επίσης να μετονομάσει τη δική της διεργασία και να εμφανίζεται ως φιλικό όνομα διεργασίας εάν το σύστημα του θύματος εξεταστεί χρησιμοποιώντας την εντολή "ps aux".

Η οντότητα πίσω από το BPFDoor, το Red Menshen ή το Red Dev 18, σχετίζεται με την κυβερνοκατασκοπεία και στο παρελθόν είχε στοχεύσει οντότητες που εργάζονται στις τηλεπικοινωνίες και βρίσκονται τόσο στην Ασία όσο και στη Μέση Ανατολή.

May 13, 2022