Νέα αόρατη παραλλαγή του Linux Backdoor BPFDoor αναδύεται από τις σκιές

**nnn** · 13-05-23, 11:01

Μια προηγουμένως μη τεκμηριωμένη και ως επί το πλείστον μη ανιχνευμένη παραλλαγή ενός backdoor Linux που ονομάζεται BPFDoor έχει εντοπιστεί ανέφερε η εταιρεία κυβερνοασφάλειας Deep Instinct σε τεχνική έκθεση που δημοσιεύθηκε αυτή την εβδομάδα.

"Το BPFDoor διατηρεί τη φήμη του ως ένα εξαιρετικά stealthy και δύσκολα ανιχνεύσιμο κακόβουλο λογισμικό με αυτή την τελευταία έκδοση", δήλωσαν οι ερευνητές ασφαλείας Shaul Vilkomir-Preisman και Eliran Nissan.

Το BPFDoor (ή αλλιώς JustForFun), που καταγράφηκε για πρώτη φορά από την PwC και την Elastic Security Labs τον Μάιο του 2022, είναι ένα παθητικό backdoor Linux που σχετίζεται με έναν κινεζικό φορέα απειλών που ονομάζεται Red Menshen (ή αλλιώς DecisiveArchitect ή Red Dev 18), ο οποίος είναι γνωστό ότι ξεχωρίζει τους παρόχους τηλεπικοινωνιών σε όλη τη Μέση Ανατολή και την Ασία τουλάχιστον από το 2021.

Το κακόβουλο λογισμικό είναι ειδικά προσανατολισμένο στην καθιέρωση μόνιμης απομακρυσμένης πρόσβασης σε παραβιασμένα περιβάλλοντα-στόχους για παρατεταμένες χρονικές περιόδους, με στοιχεία που δείχνουν ότι το δίκτυο χάκερ λειτουργούσε το backdoor απαρατήρητο για χρόνια.

Το BPFDoor παίρνει το όνομά του από τη χρήση του Berkeley Packet Filters (BPF) - μιας τεχνολογίας που καθιστά δυνατή την ανάλυση και το φιλτράρισμα της δικτυακής κίνησης σε συστήματα Linux - για τις επικοινωνίες δικτύου και την επεξεργασία των εισερχόμενων εντολών.

Με αυτόν τον τρόπο, οι φορείς απειλών μπορούν να διεισδύσουν στο σύστημα ενός θύματος και να εκτελέσουν αυθαίρετο κώδικα χωρίς να ανιχνευθούν από τα τείχη προστασίας, ενώ ταυτόχρονα φιλτράρουν τα περιττά δεδομένα.

Τα ευρήματα του Deep Instinct προέρχονται από ένα τεχνούργημα BPFDoor που μεταφορτώθηκε στο VirusTotal στις 8 Φεβρουαρίου 2023. Μέχρι στιγμής, μόνο τρεις προμηθευτές ασφάλειας έχουν επισημάνει το δυαδικό ELF ως κακόβουλο.

Ένα από τα βασικά χαρακτηριστικά που καθιστούν τη νέα έκδοση του BPFDoor ακόμη πιο ελλειμματική είναι η αφαίρεση πολλών σκληρά κωδικοποιημένων δεικτών και αντ' αυτού η ενσωμάτωση μιας στατικής βιβλιοθήκης για κρυπτογράφηση (libtomcrypt) και ενός αντίστροφου κελύφους για επικοινωνία με εντολές και έλεγχο (C2).

Κατά την εκκίνηση, το BPFDoor έχει ρυθμιστεί ώστε να αγνοεί διάφορα σήματα του λειτουργικού συστήματος για να μην μπορεί να τερματιστεί. Στη συνέχεια, κατανέμει έναν απομονωτή μνήμης και δημιουργεί μια ειδική υποδοχή παρακολούθησης πακέτων (packet sniffing socket) που παρακολουθεί για εισερχόμενη κίνηση με μια συγκεκριμένη ακολουθία Magic Byte, συνδέοντας ένα φίλτρο BPF στην ακατέργαστη υποδοχή.

Η εξέλιξη αυτή έρχεται καθώς η Google ανακοίνωσε ένα νέο διευρυμένο πλαίσιο fuzzing του Berkeley Packet Filter (eBPF) που ονομάζεται Buzzer για να βοηθήσει στη θωράκιση του πυρήνα του Linux και να διασφαλίσει ότι τα sandboxed προγράμματα που εκτελούνται σε προνομιακό πλαίσιο είναι έγκυρα και ασφαλή.

by Deepl

Πηγή : The Hacker News