Istraživači iz oblasti cyber sigurnosti otkrili su novi kontrolni modul povezan s poznatim malverom BPFDoor, koji je korišten u napadima na telekomunikacijski, finansijski i maloprodajni sektor u Južnoj Koreji, Hong Kongu, Mjanmaru, Maleziji i Egiptu tokom 2024. godine.
“Kontroler može otvoriti povratnu ljusku (reverse shell),” izjavio je Fernando Mercês iz Trend Micro-a. “To bi napadačima omogućilo bočno kretanje po mreži, pristup dodatnim sistemima i osjetljivim podacima.”
Ko stoji iza napada?
Kampanja se pripisuje grupi poznatoj kao Earth Bluecrow (poznata i kao DecisiveArchitect, Red Dev 18, ili Red Menshen). Ipak, ova tvrdnja ima srednji nivo povjerenja, jer je izvorni kod BPFDoor malvera procurio još 2022., što znači da ga mogu koristiti i druge grupe.
Šta je BPFDoor?
BPFDoor je backdoor za Linux koji je otkriven 2022., ali je korišten u napadima još od 2021. godine. Riječ je o špijunskom alatu za dugotrajne operacije, posebno protiv organizacija u Aziji i Bliskom Istoku.
Ono što BPFDoor čini posebnim je njegova sposobnost da:
- Stvori trajni i prikriveni komunikacijski kanal s napadačem
- Funkcioniše čak i kada su firewall-ovi aktivni, jer koristi Berkeley Packet Filter (BPF) za presretanje mrežnog saobraćaja na nivou kernela
“Zahvaljujući načinu na koji BPF funkcioniše u Linuxu, ‘magični paket’ pokreće backdoor čak i ako ga firewall blokira,” pojašnjava Mercês.
Novi kontroler: funkcionalnosti i opasnosti
Trend Micro je otkrio da su kompromitovani Linux serveri takođe zaraženi novim, ranije nedokumentovanim kontrolnim malverom koji:
- Omogućava bočno kretanje – prijelaz s jednog zaraženog uređaja na druge u istoj mreži
- Komunicira s BPFDoor-om pomoću “magičnih paketa” koji aktiviraju zadatke
- Prvo traži lozinku, koja mora biti među ugrađenim vrijednostima (hardcoded passwords) u BPFDoor uzorku
Zavisno od unesenih komandi, kompromitovani sistem može da:
- Otvori reverse shell
- Preusmjeri nove konekcije na shell na određenom portu
- Potvrdi da je backdoor aktivan
Dodatne tehničke karakteristike
- Podržani protokoli: TCP, UDP i ICMP
- Opcija enkripcije: omogućava sigurniju komunikaciju između kontrolera i kompromitovanog sistema
- Direktni režim: napadač se može direktno povezati na sistem ako zna lozinku
“BPF otvara novo poglavlje za autore malvera,” upozorava Mercês. “Analiza BPF koda postaje ključna za buduću zaštitu od sofisticiranih prijetnji.”
Izvor:The Hacker News