16/04/25
BPFDoor направлен на взлом серверов, работающих под управлением Linux, и отличается высоким уровнем скрытности. По данным Trend Micro, вредоносное ПО активно применяется в телекоммуникационном, финансовом и ритейл-секторах, особенно в Южной Корее, Гонконге, Мьянме, Малайзии и Египте. Атакующие применяют сложные техники фильтрации сетевых пакетов на уровне ядра с использованием Berkeley Packet Filter (BPF), а также создают обратные соединения для удалённого управления заражёнными машинами. Об этом пишет Securitylab.
Программа активируется при получении так называемой «магической последовательности» — набора байтов, встроенных в сетевые пакеты. После этого BPFDoor выполняет заранее заданные действия, оставаясь при этом незаметным. Одной из ключевых особенностей является подмена имён процессов, отсутствие открытых портов и обход стандартных журналов безопасности, что делает её особенно удобной для длительного пребывания в инфраструктуре жертвы.
Главный механизм управления строится на обратной оболочке, позволяющей злоумышленникам устанавливать соединение с заражённым сервером снаружи, минуя входящий контроль. Такая схема даёт возможность не только выполнять команды удалённо, но и перемещаться по внутренней сети организации, получая доступ к другим узлам и данным.
BPFDoor поддерживает сразу три сетевых протокола для связи с управляющим сервером: TCP, UDP и ICMP. С их помощью осуществляется шифрованный обмен и обход большинства защитных механизмов. Команды, передаваемые контроллером, позволяют настраивать соединения, менять пароли, магические строки и порты назначения, подстраивая атаку под конкретную инфраструктуру.
Расследование показало, что особенно часто вредонос используется против стратегических объектов. В Южной Корее и Мьянме были зафиксированы атаки на телеком-компании, в Египте — на банковские учреждения, а в Малайзии — на ритейл-сегмент. Это подтверждает, что Earth Bluecrow ведёт масштабную кибершпионскую кампанию, ориентированную на критически важные отрасли.
Специалисты настоятельно рекомендуют следить за нетипичным сетевым трафиком, особенно за пакетами с подозрительными последовательностями байтов по протоколам TCP, UDP и ICMP. Именно такие пакеты чаще всего служат индикатором активности BPFDoor в инфраструктуре. Многоуровневая маскировка и использование обратных соединений превращают BPFDoor в серьёзную угрозу для информационной безопасности.
