Kenkėjiškas įrankis BPFDoor išvengia aptikimo daugelį metų

Saugumo tyrinėtojai neseniai pateikė nerimą keliantį apreiškimą. Paaiškėjo, kad kenkėjiškas įrankis, susijęs su Kinijos grėsmės veikėjais, buvo įdiegtas „tūkstančiuose“ sistemų, kuriose veikia „Linux“. Šokiruojanti šių naujienų dalis yra ta, kad minima kenkėjiška programa, pavadinta BPFDoor, sugebėjo išlikti tuose kompiuteriuose ir išvengti aptikimo maždaug penkerius metus.

Anksčiau šiais metais saugos įmonės „Pangu Lab“ tyrėjai išskyrė kitą užpakalinių durų kenkėjišką programą, naudojančią BPF „Linux“ sistemose, vadinamą Bvp47. BPF reiškia „Berkeley Packet Filter“ – technologiją, kuri iš pradžių buvo siejama su „Linux“ sistemomis ir buvo naudojama tinklo analizei.

Naujai aptikta BPFDoor kenkėjiška programa buvo aptikta po to, kai failo pavyzdys, kurį išanalizavo kelios šalys, pasirodė esąs BPFDoor kenkėjiškajai programai priklausantis valdiklis. Ta pati kenkėjiška programa buvo susieta su subjektu, pavadintu Red Menshen – pažangiu nuolatinės grėsmės veikėju, kuris, kaip manoma, veikia už Kinijos ribų, taip pat žinomas kaip Red Dev 18.

Užpakalinių durų įrankis leidžia piktybiniams veikėjams įgyti nuotolinio kodo vykdymo galimybes pažeistoje sistemoje, neatidarant jokių naujų tinklo prievadų, kad būtų persiunčiamos komandos ir nekeičiant jokių užkardos taisyklių.

Kenkėjišką programą ypač sunku aptikti Linux sistemose, kurias ji užkrečia dėl kelių veiksnių. Vienas iš tų veiksnių yra žemas jos profilis, niekada nekeičiantis ugniasienės taisyklių ir niekada nedarantis nieko įtartino su prievadais. Be to, BPFDoor nebendrauja su išeinančiu komandų ir valdymo serveriu. Galiausiai, užpakalinės durys taip pat gali pervardyti savo procesą ir pasirodyti kaip draugiškas proceso pavadinimas, jei nukentėjusioji sistema tiriama naudojant komandą „ps aux“.

Subjektas už BPFDoor, Red Menshen arba Red Dev 18, yra susijęs su kibernetiniu šnipinėjimu ir anksčiau taikėsi į subjektus, dirbančius telekomunikacijų srityje ir įsikūrusius tiek Azijoje, tiek Artimuosiuose Rytuose.

May 13, 2022