Ferramenta maliciosa BPFDoor evita detecção por anos

Pesquisadores de segurança recentemente chegaram a uma revelação preocupante. Uma ferramenta maliciosa associada a agentes de ameaças chineses acabou sendo implantada em "milhares" de sistemas executando Linux. A parte chocante dessa notícia é que o malware em questão, apelidado de BPFDoor, conseguiu permanecer nesses computadores e evitar a detecção por cerca de cinco anos.

No início deste ano, pesquisadores da empresa de segurança Pangu Lab identificaram outro malware de backdoor usando BPF em sistemas Linux, chamado Bvp47. BPF significa "Berkeley Packet Filter", uma tecnologia originalmente associada a sistemas baseados em Linux e usada para análise de rede.

O malware BPFDoor recém-descoberto foi descoberto depois que uma amostra de arquivo que foi analisada por várias partes acabou sendo um controlador pertencente ao malware BPFDoor. O mesmo malware foi associado a uma entidade chamada Red Menshen - um agente avançado de ameaças persistentes que se acredita operar fora da China e também conhecido pelo nome Red Dev 18.

A ferramenta backdoor permite que agentes mal-intencionados obtenham recursos de execução remota de código em um sistema comprometido sem nunca abrir novas portas de rede para encaminhar os comandos por meio e sem alterar nenhuma regra de firewall.

O malware é particularmente difícil de detectar nos sistemas Linux que infecta devido a vários fatores. O baixo perfil que mantém, nunca alterando regras de firewall e nunca fazendo nada suspeito com portas é um desses fatores. Além disso, o BPFDoor não se comunica com um servidor de controle e comando de saída. Finalmente, o backdoor também pode renomear seu próprio processo e aparecer como um nome de processo amigável se o sistema da vítima for examinado usando o comando "ps aux".

A entidade por trás do BPFDoor, Red Menshen ou Red Dev 18, está associada à ciberespionagem e já tinha como alvo entidades que trabalham em telecomunicações e localizadas na Ásia e no Oriente Médio.