شرکت امنیت سایبری Deep Instinct در گزارشی فنی که این هفته منتشر شد، اعلام کرد که یک نوع قبلاً غیرقابل اسناد و عمدتاً شناسایی نشده از یک درب پشتی لینوکس به نام BPFDoor در طبیعت مشاهده شده است.
Shaul Vilkomir-Preisman و Eliran Nissan محققین امنیتی گفتند: «BPFDoor شهرت خود را به عنوان یک بدافزار بسیار مخفی و غیرقابل شناسایی با این نسخه جدید حفظ می کند.
BPFDoor (با نام مستعار JustForFun) که برای اولین بار توسط PwC و آزمایشگاههای امنیتی Elastic در می ۲۰۲۲ مستند شد، یک درب پشتی لینوکس غیرفعال است که با یک عامل تهدید چینی به نام Red Menshen (معروف به DecisiveArchitect یا Red Dev 18) مرتبط است، که به ارائهدهندگان مخابراتی در سراسر جهان معروف است. خاورمیانه و آسیا حداقل از سال ۲۰۲۱.
این بدافزار به طور خاص برای ایجاد دسترسی از راه دور دائمی به محیطهای هدف آسیبدیده برای مدت زمان طولانی طراحی شده است، با شواهدی که نشان میدهد خدمه هکر سالها در پشتی را شناسایی نکردهاند.
BPFDoor نام خود را از استفاده از فیلترهای بسته برکلی (BPF) گرفته است - فناوری که تجزیه و تحلیل و فیلتر کردن ترافیک شبکه در سیستم های لینوکس را امکان پذیر می کند - برای ارتباطات شبکه و پردازش دستورات دریافتی.
با انجام این کار، عوامل تهدید می توانند به سیستم قربانی نفوذ کرده و کد دلخواه را بدون شناسایی فایروال ها اجرا کنند، در حالی که به طور همزمان داده های غیر ضروری را فیلتر می کنند.
یافتههای Deep Instinct از یک مصنوع BPFDoor است که در ۸ فوریه ۲۰۲۳ در VirusTotal آپلود شد. تا زمان نگارش، تنها سه فروشنده امنیتی باینری ELF را بهعنوان مخرب علامتگذاری کردهاند.
یکی از آپشن های کلیدی که نسخه جدید BPFDoor را حتی بیشتر گریزان میکند، حذف بسیاری از نشانگرهای رمزگذاریشده و در عوض گنجاندن یک کتابخانه ثابت برای رمزگذاری (libtomcrypt) و یک پوسته معکوس برای ارتباطات فرمان و کنترل (C2) است.
پس از راهاندازی، BPFDoor به گونهای پیکربندی شده است که سیگنالهای مختلف سیستم عامل را نادیده بگیرد تا از خاتمه آن جلوگیری کند. سپس یک بافر حافظه را تخصیص می دهد و یک سوکت sniffing بسته ویژه ایجاد می کند که با چسباندن یک فیلتر BPF به سوکت خام، ترافیک ورودی را با یک دنباله Magic Byte خاص نظارت می کند.
محققان توضیح دادند: "وقتی BPFdoor بسته ای حاوی بایت های جادویی خود را در ترافیک فیلتر شده پیدا می کند، آن را به عنوان پیامی از اپراتور خود در نظر می گیرد و دو فیلد را تجزیه می کند و دوباره خود را فورک می کند."
فرآیند والد ادامه مییابد و ترافیک فیلتر شده را که از طریق سوکت میآید نظارت میکند، در حالی که کودک با فیلدهای تجزیهشده قبلی بهعنوان ترکیبی از پورت IP-Command-and-Control رفتار میکند و سعی میکند با آن تماس بگیرد.»
در مرحله آخر، BPFDoor یک جلسه پوسته معکوس رمزگذاری شده با سرور C2 راه اندازی می کند و منتظر دستورالعمل های بیشتر برای اجرا در ماشین در معرض خطر است.
این واقعیت که BPFDoor برای مدت طولانی مخفی مانده است، از پیچیدگی آن سخن می گوید، همان چیزی که عاملان تهدید به طور فزاینده ای بدافزارهایی را توسعه می دهند که سیستم های لینوکس را به دلیل شیوع آنها در محیط های سازمانی و ابری هدف قرار می دهند.
این توسعه زمانی انجام شد که گوگل یک چارچوب فازی جدید توسعه یافته فیلتر بسته برکلی (eBPF) به نام Buzzer را برای کمک به سختتر شدن هسته لینوکس و اطمینان از معتبر بودن و ایمن بودن برنامههای sandboxed که در یک زمینه ممتاز اجرا میشوند، اعلام کرد.
این غول فناوری همچنین بیان کرد که روش تست منجر به کشف یک نقص امنیتی (CVE-2023-2163) شده است که می تواند برای دستیابی به خواندن و نوشتن دلخواه حافظه هسته مورد سوء استفاده قرار گیرد.
