Nedavno identifikovane verzije Linux bekdora BPFDoor oslanjaju se na kontroler koji otvara obrnuti komandni terminal (reverse shell) i kontroliše dodatne uređaje na mreži, izvještava Trend Micro.
Prvi put detaljno opisan 2021. godine, BPFDoor je bekdor koji se pripisuje kineskoj grupi sa državnom podrškom poznatoj kao Red Menshen i Earth Bluecrow, a koji se fokusira na izbjegavanje detekcije, omogućavajući napadačima dugoročni pristup zaraženim mrežama.
Vjerovatno aktivan skoro cijelu deceniju, ovaj bekdor je tokom protekle godine korišćen u napadima na telekomunikacione kompanije, finansijske servise i maloprodajne subjekte u Hong Kongu, Egiptu, Maleziji, Mjanmaru i Južnoj Koreji.
Dizajniran za sajber špijunažu, ovaj malver se izdvaja korišćenjem Berkeley Packet Filtera (BPF) za prikriveni nadzor mrežnog saobraćaja i komunikaciju sa komandno-kontrolnim (C&C) serverima.
BPFDoor koristi BPF filter koji može da inspektuje mrežni saobraćaj unutar Linux firewall-a, što operateru omogućava da ga aktivira pomoću paketa sa „magičnim sekvencama“, čak i ako su ti paketi blokirani od strane firewall-a. Takve funkcionalnosti, kako navodi Trend Micro, obično se nalaze u rootkitovima, a ne u bekdorima.
U nedavnim napadima, bekdor je viđen kako koristi kontroler koji napadačima omogućava da otvore obrnuti komandni terminal ili da preusmjere konekcije ka terminalu na određenom portu. Koristi lozinke koje napadač unosi kako bi provjerio validnost primljene komande.
„Osim što koristi različite režime konekcije, kontroler je dovoljno svestran da može upravljati zaraženim uređajima koristeći tri protokola koja BPFDoor podržava – TCP, UDP i ICMP“, objašnjava Trend Micro.
Bezbjednosna firma je takođe otkrila da kontroler može direktno da se poveže sa zaraženim uređajem preko TCP protokola kako bi otvorio terminal, ukoliko se unese ispravna lozinka.
Trend Micro takođe napominje da, zbog curenja izvornog koda bekdora na internetu 2022. godine, napadi koji su nedavno zabilježeni mogu se sa umjerenim stepenom pouzdanosti pripisati grupi Earth Bluecrow. Firma poziva administratore da primijene jake odbrambene mjere kako bi otkrili moguće BPFDoor kompromise.
„Bekdor poput ovog može ostati skriven u mreži veoma dugo, a površne bezbjednosne provjere poput skeniranja portova neće otkriti ništa sumnjivo. Takođe koristi tehnike izbjegavanja, poput mijenjanja imena procesa i činjenice da ne osluškuje nijedan port, što administratorima sistema otežava da posumnjaju da nešto nije u redu sa serverima“, navodi Trend Micro.
Izvor: SecurityWeek