BPFDoor Controller
Cybersicherheitsforscher haben eine neue Controller-Komponente identifiziert, die mit der berüchtigten BPFDoor-Hintertür in Verbindung steht. Diese jüngste Entdeckung erfolgt im Zuge anhaltender Cyberangriffe auf die Telekommunikations-, Finanz- und Einzelhandelsbranche in Südkorea, Hongkong, Myanmar, Malaysia und Ägypten im Jahr 2024.
Inhaltsverzeichnis
Tiefer graben: Reverse Shell und Lateral Movement-Fähigkeiten
Der neu entdeckte Controller kann eine Reverse Shell öffnen, ein mächtiges Werkzeug für Angreifer. Diese Funktion ermöglicht laterale Bewegungen, wodurch Cyberkriminelle tiefer in kompromittierte Netzwerke eindringen, die Kontrolle über weitere Systeme übernehmen und möglicherweise auf sensible Daten zugreifen können.
Attributionsrätsel: Wer steckt hinter dem Vorhang?
Diese Angriffe wurden vorläufig einer Bedrohungsgruppe namens Earth Bluecrow zugeordnet, die auch unter Decknamen wie DecisiveArchitect, Red Dev 18 und Red Menshen bekannt ist. Diese Zuordnung erfolgt jedoch mit mittlerer Sicherheit. Der Grund? Der Quellcode von BPFDoor wurde 2022 geleakt, was bedeutet, dass ihn nun auch andere Bedrohungsakteure nutzen könnten.
BPFDoor: Ein hartnäckiges und verdecktes Spionagetool
BPFDoor ist eine Linux-Backdoor, die erstmals 2022 aufgedeckt wurde, obwohl sie bereits seit mindestens einem Jahr im Einsatz war und sich gegen Organisationen in Asien und dem Nahen Osten richtete. Ihre Besonderheit ist ihre Fähigkeit, langfristig und verdeckt Zugriff auf kompromittierte Rechner zu erhalten – ideal für Spionageoperationen.
So funktioniert es: Die Magie des Berkeley-Paketfilters
Der Name der Malware leitet sich von der Verwendung des Berkeley Packet Filters (BPF) ab. BPF ermöglicht es der Software, eingehende Netzwerkpakete auf eine bestimmte „Magic Byte“-Sequenz zu überprüfen. Wird dieses einzigartige Muster erkannt, löst es die Backdoor aus – selbst bei vorhandener Firewall. Dies liegt daran, dass BPF auf Kernel-Ebene agiert und herkömmliche Firewall-Schutzmechanismen umgeht. Obwohl diese Technik bei Rootkits üblich ist, kommt sie bei Backdoors selten vor.
Ein neuer Akteur: Der undokumentierte Malware-Controller
Aktuelle Analysen zeigen, dass kompromittierte Linux-Server auch mit einem bislang undokumentierten Malware-Controller infiziert waren. Im Netzwerk angekommen, erleichtert dieser Controller die laterale Bewegung und erweitert die Reichweite des Angreifers auf andere Systeme.
Vor dem Senden eines „Magic Packets“ fordert der Controller den Bediener zur Eingabe eines Passworts auf. Dieses Passwort muss mit einem fest codierten Wert in der BPFDoor-Malware übereinstimmen. Nach der Authentifizierung kann der Controller einen von mehreren Befehlen ausführen:
- Öffnen Sie eine Reverse-Shell
- Leiten Sie neue Verbindungen zu einer Shell auf einem bestimmten Port um
- Überprüfen Sie, ob die Hintertür noch aktiv ist
Erweiterte Funktionen: Protokollunterstützung und Verschlüsselung
Der Controller ist vielseitig und unterstützt die Protokolle TCP, UDP und ICMP. Er verfügt außerdem über einen optionalen Verschlüsselungsmodus für sichere Kommunikation. Ein erweiterter Direktmodus ermöglicht Angreifern die sofortige Verbindung mit infizierten Rechnern – wiederum nur mit dem korrekten Passwort.
Ausblick: Die wachsende Bedrohung durch BPF
BPF eröffnet Cyber-Angreifern neues und weitgehend unerforschtes Terrain. Seine Fähigkeit, traditionelle Abwehrmechanismen zu umgehen, macht es zu einem attraktiven Werkzeug für erfahrene Malware-Entwickler. Für Cybersicherheitsexperten ist das Verständnis und die Analyse BPF-basierter Bedrohungen entscheidend, um zukünftigen Angriffen einen Schritt voraus zu sein.
