Вредоносный инструмент BPFDoor годами уклоняется от обнаружения

Исследователи безопасности недавно сделали тревожное открытие. Вредоносный инструмент, связанный с китайскими злоумышленниками, оказался развернутым на «тысячах» систем под управлением Linux. Шокирующая часть этой новости заключается в том, что рассматриваемое вредоносное ПО, получившее название BPFDoor, оставалось на этих компьютерах и скрывалось от обнаружения в течение примерно пяти лет.

Ранее в этом году исследователи из охранной фирмы Pangu Lab разобрали еще одну вредоносную программу-бэкдор, использующую BPF в системах Linux, под названием Bvp47. BPF расшифровывается как «Berkeley Packet Filter», технология, изначально связанная с системами на базе Linux и использовавшаяся для сетевого анализа.

Недавно обнаруженная вредоносная программа BPFDoor была обнаружена после того, как образец файла, который был проанализирован несколькими сторонами, оказался контроллером, принадлежащим вредоносной программе BPFDoor. Та же вредоносная программа была связана с организацией под названием Red Menshen — продвинутой постоянной угрозой, которая, как полагают, действует из Китая и также известна под псевдонимом Red Dev 18.

Инструмент бэкдора позволяет злоумышленникам получить возможность удаленного выполнения кода на скомпрометированной системе, даже не открывая никаких новых сетевых портов для пересылки команд через и без изменения каких-либо правил брандмауэра.

Это вредоносное ПО особенно трудно обнаружить в системах Linux, которые оно заражает, из-за нескольких факторов. Низкий профиль, который он сохраняет, никогда не изменяя правила брандмауэра и никогда не делая ничего подозрительного с портами, является одним из этих факторов. Кроме того, BPFDoor не обменивается данными с исходящим сервером управления и контроля. Наконец, бэкдор также может переименовывать свой собственный процесс и отображаться как понятное имя процесса, если система-жертва проверяется с помощью команды «ps aux».

Организация, стоящая за BPFDoor, Red Menshen или Red Dev 18, связана с кибершпионажем и ранее преследовала организации, работающие в сфере телекоммуникаций и расположенные как в Азии, так и на Ближнем Востоке.

May 13, 2022