Złośliwe narzędzie BPFDoor unika wykrycia przez lata

Badacze bezpieczeństwa doszli ostatnio do niepokojącego odkrycia. Okazało się, że złośliwe narzędzie powiązane z chińskimi cyberprzestępcami zostało wdrożone na „tysiącach” systemów z systemem Linux. Szokującą częścią tej wiadomości jest to, że omawiane złośliwe oprogramowanie, nazwane BPFDoor, zdołało pozostać na tych komputerach i unikać wykrycia przez około pięć lat.

Na początku tego roku badacze z firmy zajmującej się bezpieczeństwem Pangu Lab wyodrębnili inne szkodliwe oprogramowanie typu backdoor wykorzystujące BPF w systemach Linux, o nazwie Bvp47. BPF to skrót od „Berkeley Packet Filter”, technologii pierwotnie związanej z systemami opartymi na Linuksie i używanej do analizy sieci.

Nowo wykryte złośliwe oprogramowanie BPFDoor zostało wykryte po tym, jak próbka pliku, która została przeanalizowana przez wiele podmiotów, okazała się kontrolerem należącym do złośliwego oprogramowania BPFDoor. To samo złośliwe oprogramowanie było powiązane z podmiotem zwanym Red Menshen – zaawansowanym, utrzymującym się zagrożeniem, który prawdopodobnie działa poza Chinami i jest również znany pod pseudonimem Red Dev 18.

Narzędzie backdoora umożliwia złośliwym podmiotom uzyskanie możliwości zdalnego wykonywania kodu w zaatakowanym systemie bez otwierania jakichkolwiek nowych portów sieciowych w celu przesłania poleceń przez i bez zmiany jakichkolwiek reguł zapory.

Złośliwe oprogramowanie jest szczególnie trudne do wykrycia w infekowanych systemach Linux ze względu na kilka czynników. Niski profil, który utrzymuje, nigdy nie zmienia reguł zapory i nigdy nie robi nic podejrzanego z portami, jest jednym z tych czynników. Ponadto BPFDoor nie komunikuje się z wychodzącym serwerem dowodzenia i kontroli. Wreszcie, backdoor może również zmienić nazwę swojego procesu i pokazać się jako przyjazna nazwa procesu, jeśli system ofiary jest sprawdzany za pomocą polecenia „ps aux”.

Podmiot stojący za BPFDoor, Red Menshen lub Red Dev 18, jest powiązany z cyberszpiegostwem i wcześniej atakował podmioty działające w telekomunikacji i zlokalizowane zarówno w Azji, jak i na Bliskim Wschodzie.

May 13, 2022