Skadligt verktyg BPFDoor undviker upptäckt i flera år

Säkerhetsforskare kom nyligen med ett oroande avslöjande. Ett skadligt verktyg associerat med kinesiska hotaktörer visade sig vara utplacerat på "tusentals" system som kör Linux. Den chockerande delen av den nyheten är att den skadliga programvaran i fråga, kallad BPFDoor, lyckades stanna kvar på dessa datorer och undvika upptäckt i ungefär fem år.

Tidigare i år valde forskare med säkerhetsföretaget Pangu Lab isär en annan bakdörr skadlig kod med BPF på Linux-system, kallad Bvp47. BPF står för "Berkeley Packet Filter", en teknik som ursprungligen förknippades med Linux-baserade system och användes för nätverksanalys.

Den nyupptäckta skadliga programvaran BPFDoor upptäcktes efter att ett filprov som analyserades av flera parter visade sig vara en kontrollant som tillhörde skadlig programvara BPFDoor. Samma skadliga program var associerad med en enhet som heter Red Menshen - en avancerad aktör för ihållande hot som tros vara verksam från Kina och som också är känd av handtaget Red Dev 18.

Bakdörrsverktyget tillåter illvilliga aktörer att få fjärrkodexekveringsmöjligheter på ett komprometterat system utan att någonsin öppna några nya nätverksportar för att vidarebefordra kommandon genom och utan att ändra några brandväggsregler.

Skadlig programvara är särskilt svår att upptäcka på de Linux-system den infekterar på grund av flera faktorer. Den låga profilen den håller, aldrig ändra brandväggsregler och aldrig göra något misstänkt med portar är en av dessa faktorer. Dessutom kommunicerar BPFDoor inte med en utgående kommando- och kontrollserver. Slutligen kan bakdörren också byta namn på sin egen process och dyka upp som ett vänligt processnamn om offersystemet undersöks med kommandot "ps aux".

Entiteten bakom BPFDoor, Red Menshen eller Red Dev 18, är associerad med cyberspionage och har tidigare riktat in sig på enheter som arbetar inom telekom och finns i både Asien och Mellanöstern.

May 13, 2022