A BPFDoor rosszindulatú eszköz évekig elkerüli az észlelést

A biztonsági kutatók a közelmúltban aggasztó leleplezéssel rukkoltak elő. Kiderült, hogy a kínai fenyegetés szereplőihez kapcsolódó rosszindulatú eszköz "ezer" Linuxot futtató rendszeren van telepítve. A hír megdöbbentő része az, hogy a szóban forgó, BPFDoor névre keresztelt kártevőnek nagyjából öt évig sikerült megmaradnia ezeken a számítógépeken, és elkerülte az észlelést.

Az év elején a Pangu Lab biztonsági cég kutatói egy másik, Linux rendszereken BPF-et használó backdoor malware-t választottak ki, a Bvp47 néven. A BPF a "Berkeley Packet Filter" rövidítése, egy olyan technológia, amelyet eredetileg Linux-alapú rendszerekhez kapcsoltak, és hálózati elemzésre használták.

Az újonnan felfedezett BPFDoor kártevőt azután fedezték fel, hogy egy több fél által elemzett fájlmintáról kiderült, hogy a BPFDoor kártevőhöz tartozó vezérlő. Ugyanez a rosszindulatú program a Red Menshen nevű entitáshoz kapcsolódott – egy fejlett, állandó fenyegetést okozó szereplőhöz, amelyről úgy gondolják, hogy Kínából származik, és Red Dev 18 néven is ismert.

A hátsó ajtó eszköz lehetővé teszi a rosszindulatú szereplők számára, hogy távoli kódvégrehajtási képességeket szerezzenek egy feltört rendszeren anélkül, hogy új hálózati portokat nyitnának meg a parancsok továbbításához a tűzfalszabályok megváltoztatása nélkül.

A kártevőt több tényező miatt különösen nehéz felismerni az általa megfertőzött Linux rendszereken. Az egyik ilyen tényező, hogy alacsony profilt tart fenn, soha nem változtatja meg a tűzfalszabályokat, és soha nem csinál semmi gyanúsat a portokkal. Ezenkívül a BPFDoor nem kommunikál kimenő parancs- és vezérlőkiszolgálóval. Végül a hátsó ajtó átnevezheti saját folyamatát, és barátságos folyamatnévként jelenhet meg, ha az áldozat rendszert a "ps aux" paranccsal vizsgálják.

A BPFDoor, a Red Menshen vagy a Red Dev 18 mögött álló entitás kiberkémkedéssel áll kapcsolatban, és korábban a távközlésben dolgozó, Ázsiában és a Közel-Keleten egyaránt működő entitásokat célozta meg.

May 13, 2022