BPFDoor valdiklis: tyli grėsmė su plačiomis pasekmėmis
Kibernetinio saugumo pasaulis nenustoja keistis, o slaptumas dažnai kalba garsiau nei brutali jėga. Neseniai atliktas atradimas atkreipė dėmesį į galingą kenkėjiškų programų komponentą, žinomą kaip BPFDoor Controller , atskleidžiantį, kaip užpuolikai naudoja pažangias technologijas, kad išlaikytų ilgalaikę prieigą prie pažeistų tinklų pagrindiniuose sektoriuose ir regionuose.
Table of Contents
Kas yra BPFDoor valdiklis?
Šios analizės pagrindas yra „BPFDoor“ – „Linux“ pagrindu veikiančios užpakalinės durys, kurios buvo laukinėje gamtoje mažiausiai nuo 2021 m., tačiau 2022 m. ji sulaukė didesnio dėmesio. Tai ne tik dar viena kenkėjiškų programų dalis. BPFDoor išsiskiria slaptu atkaklumu – jis tyliai įsilieja į pažeistas sistemas. Jis išlieka aktyvus ilgą laiką, suteikdamas užpuolikams ilgalaikę prieigą prie jautrios aplinkos nesukeliant pavojaus signalų.
Naujai nustatytas BPFDoor Controller prideda gilesnį šios grėsmės sluoksnį. Jis veikia kaip komandų centras, leidžiantis grėsmės veikėjams sąveikauti su užkrėstomis mašinomis, judėti į šonus tinkluose ir nuotoliniu būdu atlikti konkrečius veiksmus, pvz., atidaryti atvirkštinį apvalkalą arba peradresuoti ryšius. Šis valdiklis iš esmės paverčia pažeistą serverį aktyviu užpuolikų įrankiu, palengvinančiu stebėjimą ir platesnę prieigą prie svarbių sistemų.
Kaip tai veikia?
„BPFDoor“ pavadinimas kilęs iš jo naudojimo Berkeley Packet Filter (BPF) , tinklo paketų tikrinimo technologijos. Įterpdama filtrus branduolio lygiu, kenkėjiška programa klauso specialiai sukurtų „stebuklingų paketų“, kurie gali suaktyvinti užpakalines duris, net jei yra užkardos. Tai suteikia kenkėjiškajai programai unikalią galimybę likti nepastebėtai laukiant komandų.
Naujai atskleistas valdiklio komponentas dar labiau sustiprina šią galimybę. Prieš vykdant bet kokią komandą, ji reikalauja slaptažodžio – tokio, kuris turi atitikti užkoduotą vertę pačioje BPFDoor kenkėjiškoje programoje. Šis rankos paspaudimas užtikrina, kad tik tinkamas vartotojas, tikėtina, kad užpuolikas arba įgaliotas operatorius gali suaktyvinti galinių durų funkcijas.
Tyrėjai pastebėjo, kad valdiklis palaiko įvairius ryšio protokolus, įskaitant TCP, UDP ir ICMP, ir netgi gali veikti šifruotu režimu saugiai sąveikai. Jame taip pat yra „tiesioginis režimas“, leidžiantis nedelsiant pasiekti užkrėstą įrenginį, jei įvedamas teisingas slaptažodis.
Kur jis buvo rastas?
Valdiklis buvo aptiktas kibernetinėse kampanijose, nukreiptose į tokias pramonės šakas kaip telekomunikacijos, finansai ir mažmeninė prekyba Pietų Korėjoje, Honkonge, Mianmare, Malaizijoje ir Egipte. Šios kampanijos buvo preliminariai susietos su grupe, žinoma kaip „Earth Bluecrow“ , kuri taip pat stebima kitais pavadinimais, pvz., „DecisiveArchitect“ ir „Red Dev 18“.
Beje, takas yra šiek tiek miglotas. BPFDoor šaltinio kodas buvo nutekintas 2022 m., todėl gali būti, kad kitos įsilaužimo grupės dabar naudoja arba pritaiko įrankių rinkinį savo tikslams. Tai padidina priskyrimo sudėtingumą ir padidina įvairių piktavališkų veikėjų galimybes.
Kokios yra pasekmės?
„BPFDoor“ ir jo valdiklio reikšmė neapsiriboja viena kampanija. Ši technologija išryškina, kaip BPF – teisėta ir galinga „Linux“ sistemų savybė – gali būti panaudota piktybinių veikėjų, kad apeitų tradicinius saugos įrankius.
Šis poslinkis yra iššūkis gynėjams. Kadangi BPF sistemoje veikia žemu lygiu, jis gali stebėti tinklo srautą ir suaktyvinti atsakymus, kol šis srautas nebus apdorotas aukštesnio lygio programine įranga, tokia kaip ugniasienė. Dėl to BPFDoor veikla gali likti beveik nepastebima įprastiniams aptikimo metodams.
Be to, valdiklio komponento buvimas reiškia, kad užkrėsti įrenginiai nėra tik pasyvios aukos. Juos galima paversti aktyviais tolimesnių atakų kanalais, suteikiant grėsmės veikėjams lanksčią ir galingą atramą jautrioje aplinkoje.
Žvilgsnis į priekį
Nors BPFDoor valdiklio atradimas kelia nerimą, jis taip pat suteikia svarbią galimybę. Suprasdami, kaip ši sistema veikia – kaip ji bendrauja, juda ir slepiasi – kibernetinio saugumo specialistai gali pradėti kurti geresnę apsaugą.
Organizacijos, eksploatuojančios Linux serverius, ypač didelės vertės sektoriuose, turėtų peržiūrėti savo apsaugą, atsižvelgdamos į šias kylančias grėsmes.
Ilgainiui BPFDoor Controller yra priminimas, kad kibernetinės grėsmės vystosi ne tik savo apimtimi, bet ir sudėtingumu. Norint apsisaugoti nuo rytojaus kenkėjiškų programų, reikia ne tik tvirtesnių sienų, bet ir protingesnių akių, stebinčių vartus.
