Strumento dannoso BPFDoor elude il rilevamento per anni

I ricercatori della sicurezza hanno recentemente escogitato una rivelazione preoccupante. Uno strumento dannoso associato agli attori delle minacce cinesi si è rivelato essere distribuito su "migliaia" di sistemi che eseguono Linux. La parte scioccante di quella notizia è che il malware in questione, soprannominato BPFDoor, è riuscito a rimanere su quei computer e ad evitare il rilevamento per circa cinque anni.

All'inizio di quest'anno, i ricercatori della società di sicurezza Pangu Lab hanno selezionato un altro malware backdoor che utilizzava BPF su sistemi Linux, chiamato Bvp47. BPF sta per "Berkeley Packet Filter", una tecnologia originariamente associata ai sistemi basati su Linux e utilizzata per l'analisi di rete.

Il malware BPFDoor appena scoperto è stato scoperto dopo che un campione di file analizzato da più parti si è rivelato essere un controller appartenente al malware BPFDoor. Lo stesso malware era associato a un'entità chiamata Red Menshen, un attore avanzato di minacce persistenti che si ritiene operi al di fuori della Cina ed è anche noto con l'handle Red Dev 18.

Lo strumento backdoor consente agli attori malintenzionati di ottenere capacità di esecuzione di codice in remoto su un sistema compromesso senza mai aprire nuove porte di rete per inoltrare i comandi e senza alterare le regole del firewall.

Il malware è particolarmente difficile da rilevare sui sistemi Linux che infetta a causa di diversi fattori. Il basso profilo che mantiene, non altera mai le regole del firewall e non fa mai nulla di sospetto con le porte è uno di questi fattori. Inoltre, BPFDoor non comunica con un server di controllo e comando in uscita. Infine, la backdoor può anche rinominare il proprio processo e apparire come un nome di processo amichevole se il sistema vittima viene esaminato utilizzando il comando "ps aux".

L'entità dietro BPFDoor, Red Menshen o Red Dev 18, è associata allo spionaggio informatico e in precedenza ha preso di mira entità che lavorano nelle telecomunicazioni e si trovano sia in Asia che in Medio Oriente.

May 13, 2022