کشف بدافزاری که هیچ‌آنتی‌ویروسی آن را تشخیص نمی‌دهد

کمیته رکن چهارم – کارشناسان امنیت سایبری به کاربران لینوکس نسبت به یک بدافزار ارتقا یافته هشدار دادند.

کارشناسان اخیراً نسخه ارتقا یافته بدافزار BPFDoor برای لینوکس را کشف کرده‌اند که به نظر می‌رسد تشخیص آن سخت‌تر است و در نتیجه، هیچ برنامه آنتی‌ویروسی هنوز فایل اجرایی را به عنوان مخرب پرچم‌گذاری نمی‌کند.

محققان امنیت سایبری از Deep Instinct خاطرنشان کردند BPFDoor که برای اولین بار در سال ۲۰۲۲ کشف شد، حداقل از سال ۲۰۱۷ فعال بوده است. این ابزار نام خود را از فیلتر بسته برکلی (BPF) گرفته است که برای دریافت دستورالعمل استفاده می‌کند و هر فایروالی را دور می‌زند.

گفته شد که طراحی آن به عوامل تهدید اجازه می‌دهد تا برای مدت طولانی‌تری در یک سیستم لینوکسِ در معرض خطر ناشناخته بمانند. ویژگی کلیدی BPFDoor این است که به عوامل تهدید اجازه می‌دهد تمام ترافیک شبکه را ببینند و آسیب‌پذیری‌ها را بیابند و همچنین کدهای راه دور را از طریق کانال‌های فیلتر نشده و رفع انسداد ارسال کنند.

علاوه بر این، BPFDoor قادر است ترافیک مخرب را با ترافیک قانونی ترکیب کند و تشخیص و اصلاح را حتی دشوارتر کند.

BleepingComputer افزوده است که با توجه به اینکه هنوز هیچ آنتی‌ویروسی BPFDoor را به عنوان بدافزار پرچم‌گذاری نمی‌کند، تنها راه مدیران سیستم برای شناسایی آن نظارت جدی بر ترافیک شبکه و گزارش‌هاست. آن‌ها باید از پیشرفته‌ترین راه‌حل‌های محافظت از نقطه پایانی استفاده کنند و یکپارچگی فایل را در «/var/run/initd.lock» نظارت کنند. زیرا اینجاست که BPFDoor قبل از اینکه خود را به‌عنوان یک فرآیند کوچک اجرا کند، یک زمان اجرا ایجاد و قفل می‌کند.

TheHackerNews نیز ادعا می‌کند که BPFDoor معمولا توسط Red Menshen، یک عامل تهدید مرتبط با چین استفاده می‌شود. این گروه که از سال ۲۰۲۱ فعال است، بیشتر سیستم‌عامل‌های لینوکس متعلق به ارائه‌دهندگان مخابراتی در خاورمیانه و آسیا و همچنین سازمان‌های دولتی، شرکت‌های آموزشی و شرکت‌های لجستیک را هدف قرار داده است.

پس از به دست آوردن دسترسی اولیه، این گروه از ابزارهای سفارشی مختلفی مانند Mangzamel، Gh0st، Mimikatz و Metasplit استفاده می‌کند.

بیشتر فعالیت‌های گروه در روزهای کاری و در ساعات کاری انجام می‌شود.

منبع: افتانا