Ondsinnet verktøy BPFDoor unngår oppdagelse i årevis

Sikkerhetsforskere kom nylig med en bekymringsfull avsløring. Et ondsinnet verktøy knyttet til kinesiske trusselaktører viste seg å være utplassert på «tusenvis» av systemer som kjører Linux. Den sjokkerende delen av den nyheten er at den aktuelle skadevare, kalt BPFDoor, klarte å forbli på disse datamaskinene og unngå oppdagelse i omtrent fem år.

Tidligere i år plukket forskere med sikkerhetsfirmaet Pangu Lab fra hverandre en annen bakdørs skadevare ved å bruke BPF på Linux-systemer, kalt Bvp47. BPF står for "Berkeley Packet Filter", en teknologi som opprinnelig ble assosiert med Linux-baserte systemer og brukt til nettverksanalyse.

Den nylig oppdagede BPFDoor-malwaren ble oppdaget etter at en filprøve som ble analysert av flere parter viste seg å være en kontroller som tilhører BPFDoor-malwaren. Den samme skadevare var assosiert med en enhet kalt Red Menshen – en avansert vedvarende trusselaktør som antas å operere utenfor Kina og også er kjent under Red Dev 18-håndtaket.

Bakdørsverktøyet lar ondsinnede aktører få funksjoner for ekstern kjøring av kode på et kompromittert system uten å åpne noen nye nettverksporter for å videresende kommandoene gjennom og uten å endre brannmurregler.

Skadevaren er spesielt vanskelig å oppdage på Linux-systemene den infiserer på grunn av flere faktorer. Den lave profilen den holder, aldri endre brannmurregler og aldri gjøre noe mistenkelig med porter er en av disse faktorene. I tillegg kommuniserer ikke BPFDoor med en utgående kommando- og kontrollserver. Til slutt kan bakdøren også gi nytt navn til sin egen prosess og vises som et vennlig prosessnavn hvis offersystemet undersøkes ved hjelp av "ps aux"-kommandoen.

Enheten bak BPFDoor, Red Menshen eller Red Dev 18, er assosiert med nettspionasje og har tidligere rettet seg mot enheter som jobber innen telekom og lokalisert i både Asia og Midtøsten.