Złośliwe narzędzie BPFDoor unika wykrycia przez lata

Badacze bezpieczeństwa doszli ostatnio do niepokojącego odkrycia. Okazało się, że złośliwe narzędzie powiązane z chińskimi cyberprzestępcami zostało wdrożone na „tysiącach” systemów z systemem Linux. Szokującą częścią tej wiadomości jest to, że omawiane złośliwe oprogramowanie, nazwane BPFDoor, zdołało pozostać na tych komputerach i unikać wykrycia przez około pięć lat.

Na początku tego roku badacze z firmy zajmującej się bezpieczeństwem Pangu Lab wyodrębnili inne szkodliwe oprogramowanie typu backdoor wykorzystujące BPF w systemach Linux, o nazwie Bvp47. BPF to skrót od „Berkeley Packet Filter”, technologii pierwotnie związanej z systemami opartymi na Linuksie i używanej do analizy sieci.

Nowo wykryte złośliwe oprogramowanie BPFDoor zostało wykryte po tym, jak próbka pliku, która została przeanalizowana przez wiele podmiotów, okazała się kontrolerem należącym do złośliwego oprogramowania BPFDoor. To samo złośliwe oprogramowanie było powiązane z podmiotem zwanym Red Menshen – zaawansowanym, utrzymującym się zagrożeniem, który prawdopodobnie działa poza Chinami i jest również znany pod pseudonimem Red Dev 18.

Narzędzie backdoora umożliwia złośliwym podmiotom uzyskanie możliwości zdalnego wykonywania kodu w zaatakowanym systemie bez otwierania jakichkolwiek nowych portów sieciowych w celu przesłania poleceń przez i bez zmiany jakichkolwiek reguł zapory.

Złośliwe oprogramowanie jest szczególnie trudne do wykrycia w infekowanych systemach Linux ze względu na kilka czynników. Niski profil, który utrzymuje, nigdy nie zmienia reguł zapory i nigdy nie robi nic podejrzanego z portami, jest jednym z tych czynników. Ponadto BPFDoor nie komunikuje się z wychodzącym serwerem dowodzenia i kontroli. Wreszcie, backdoor może również zmienić nazwę swojego procesu i pokazać się jako przyjazna nazwa procesu, jeśli system ofiary jest sprawdzany za pomocą polecenia „ps aux”.

Podmiot stojący za BPFDoor, Red Menshen lub Red Dev 18, jest powiązany z cyberszpiegostwem i wcześniej atakował podmioty działające w telekomunikacji i zlokalizowane zarówno w Azji, jak i na Bliskim Wschodzie.

May 13, 2022
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.