16/05/22
Недавно обнаруженная вредоносная программа с бэкдором под названием BPFdoor уже более пяти лет незаметно атакует системы Linux и Solaris. BPFdoor представляет из себя Linux/Unix бэкдор, позволяющий злоумышленнику удаленно подключиться к оболочке Linux и получить полный доступ к скомпрометированному устройству.
Вредоносной программе не нужно открывать порты, ПО не обнаруживается брандмауэрами и может отвечать на удаленные команды с любого IP-адреса в Интернете. Такие возможности делают бэкдор идеальным инструментом для корпоративного шпионажа и постоянных атак. BPFdoor является пассивным бэкдором и может просматривать на портах входящие пакеты от хостов, позволяющие злоумышленнику удаленно отправлять команды в скомпрометированную сеть.
Вредоносная программа использует сниффер Berkeley Packet Filter (BPF), работающий на интерфейсе сетевого уровня и позволяющий просматривать весь сетевой трафик и отправлять пакеты в любое место назначения. Из-за расположения на таком низком уровне BPF не соблюдает правил брандмауэра.
BPFdoor анализирует только ICMP, UDP и TCP пакеты и проверяет их на наличие определенного значения данных, а также пароля для UDP и TCP пакетов. Отличительной чертой BPFDoor является способность отслеживать любой порт для magic packet (специальная последовательность байтов, которую для нормального прохождения по локальным сетям можно вставить в пакеты транспортного уровня, не требующие установки соединения), даже если порты используются другими службами, такими как веб-серверы, FTP (File Transfer Protocol) или SSH (Secure Shell). Если пакеты TCP и UDP содержат правильные “magic” данные и правильный пароль, бэкдор начинает выполнять поддерживаемую команду настройки привязки или обратной оболочки.
BPFdoor был обнаружен в сетях организаций США, Южной Кореи, Гонконга, Турции, Индии, Вьетнама и Мьянмы. Также 11 серверов Speedtest оказались заражены BPFdoor. По словам исследователя Бомонта, способ компрометирования устройств не понятен, тем более что серверы работают на программном обеспечении с закрытым исходным кодом.
Согласно техническому отчету о BPFdoor компании Sandfly Security, вредоносная программа использует некоторые тактики защиты от уклонения:
- Находится в системной памяти и стирает среду процесса, оставляя ее пустой);
- Загружает сниффер Berkeley Packet Filter (BPF) для работы работать перед любым локально запущенным брандмауэром для просмотра пакетов;
- Изменяет iptables правила при получении соответствующего пакета для обеспечения доступа злоумышленнику через локальный брандмауэр;
- Маскирует двоичный файл под именем, похожим на обычный системный демон Linux;
- Переименовывает и запускает себя как /dev/shm/kdmtmpflush;
- Изменяет дату двоичного файла (timestomping) на 30.10.2008 года перед его удалением и скрывает вредоносное ПО от поиска новых файлов в системе ;
Исследователи из PricewaterhouseCoopers (PwC) приписали бэкдор китайскому субъекту Red Menshen (ранее Red Dev 18), использовавший PFdoor для атак на телекоммуникационных провайдеров на Ближнем Востоке и в Азии, а также организаций в государственном, образовательном и логистическом секторах.
«Мы также определили, что субъект угрозы отправляет команды жертвам BPFDoor через VPN , управляющиеся через скомпрометированные маршрутизаторы, базирующиеся на Тайване, которые используют субъект угрозы в качестве VPN туннелей», - сказали исследователи PwC.
Ранее стало известно, что Китайская киберпреступная группировка Winnti в течение долгих лет похищает интеллектуальную собственность и другие чувствительные данные у американских и азиатских компаний.
