L'outil malveillant BPFDoor échappe à la détection pendant des années

Des chercheurs en sécurité ont récemment fait une révélation inquiétante. Un outil malveillant associé à des acteurs chinois de la menace s'est avéré être déployé sur des "milliers" de systèmes exécutant Linux. La partie choquante de cette nouvelle est que le logiciel malveillant en question, surnommé BPFDoor, a réussi à rester sur ces ordinateurs et à esquiver la détection pendant environ cinq ans.

Plus tôt cette année, des chercheurs de la société de sécurité Pangu Lab ont identifié un autre malware de porte dérobée utilisant BPF sur les systèmes Linux, appelé Bvp47. BPF signifie "Berkeley Packet Filter", une technologie associée à l'origine aux systèmes basés sur Linux et utilisée pour l'analyse du réseau.

Le malware BPFDoor nouvellement découvert a été découvert après qu'un échantillon de fichier qui a été analysé par plusieurs parties s'est avéré être un contrôleur appartenant au malware BPFDoor. Le même logiciel malveillant était associé à une entité appelée Red Menshen - un acteur avancé de menace persistante censé opérer depuis la Chine et également connu sous le nom de Red Dev 18.

L'outil de porte dérobée permet aux acteurs malveillants d'obtenir des capacités d'exécution de code à distance sur un système compromis sans jamais ouvrir de nouveaux ports réseau pour transmettre les commandes et sans modifier les règles de pare-feu.

Le malware est particulièrement difficile à détecter sur les systèmes Linux qu'il infecte en raison de plusieurs facteurs. Le profil bas qu'il garde, ne modifiant jamais les règles du pare-feu et ne faisant jamais rien de suspect avec les ports est l'un de ces facteurs. De plus, BPFDoor ne communique pas avec un serveur de commande et de contrôle sortant. Enfin, la porte dérobée peut également renommer son propre processus et apparaître comme un nom de processus convivial si le système victime est examiné à l'aide de la commande "ps aux".

L'entité derrière BPFDoor, Red Menshen ou Red Dev 18, est associée au cyberespionnage et ciblait auparavant des entités travaillant dans les télécoms et situées à la fois en Asie et au Moyen-Orient.

May 13, 2022