La herramienta maliciosa BPFDoor evade la detección durante años

Los investigadores de seguridad recientemente encontraron una revelación preocupante. Una herramienta maliciosa asociada con los actores de amenazas chinos resultó estar implementada en "miles" de sistemas que ejecutan Linux. La parte impactante de esa noticia es que el malware en cuestión, denominado BPFDoor, logró permanecer en esas computadoras y esquivar la detección durante aproximadamente cinco años.

A principios de este año, los investigadores de la empresa de seguridad Pangu Lab seleccionaron otro malware de puerta trasera que utiliza BPF en sistemas Linux, llamado Bvp47. BPF significa "Berkeley Packet Filter", una tecnología originalmente asociada con los sistemas basados en Linux y utilizada para el análisis de redes.

El malware BPFDoor recién descubierto se descubrió después de que una muestra de archivo que fue analizada por varias partes resultó ser un controlador perteneciente al malware BPFDoor. El mismo malware se asoció con una entidad llamada Red Menshen, un actor de amenazas persistente avanzado que se cree que opera desde China y también se conoce con el identificador Red Dev 18.

La herramienta de puerta trasera permite a los actores maliciosos obtener capacidades de ejecución remota de código en un sistema comprometido sin tener que abrir nuevos puertos de red para enviar los comandos y sin alterar las reglas del firewall.

El malware es particularmente difícil de detectar en los sistemas Linux que infecta debido a varios factores. El bajo perfil que mantiene, nunca altera las reglas del firewall y nunca hace nada sospechoso con los puertos es uno de esos factores. Además, BPFDoor no se comunica con un servidor de comando y control de salida. Finalmente, la puerta trasera también puede cambiar el nombre de su propio proceso y mostrarse como un nombre de proceso descriptivo si el sistema de la víctima se examina con el comando "ps aux".

La entidad detrás de BPFDoor, Red Menshen o Red Dev 18, está asociada con el ciberespionaje y anteriormente se ha centrado en entidades que trabajan en telecomunicaciones y ubicadas tanto en Asia como en Medio Oriente.

May 13, 2022