کمیته رکن چهارم – کارشناسان امنیت سایبری به کاربران لینوکس نسبت به یک بدافزار ارتقا یافته هشدار دادند.
کارشناسان اخیراً نسخه ارتقا یافته بدافزار BPFDoor برای لینوکس را کشف کردهاند که به نظر میرسد تشخیص آن سختتر است و در نتیجه، هیچ برنامه آنتیویروسی هنوز فایل اجرایی را به عنوان مخرب پرچمگذاری نمیکند.
محققان امنیت سایبری از Deep Instinct خاطرنشان کردند BPFDoor که برای اولین بار در سال ۲۰۲۲ کشف شد، حداقل از سال ۲۰۱۷ فعال بوده است. این ابزار نام خود را از فیلتر بسته برکلی (BPF) گرفته است که برای دریافت دستورالعمل استفاده میکند و هر فایروالی را دور میزند.
گفته شد که طراحی آن به عوامل تهدید اجازه میدهد تا برای مدت طولانیتری در یک سیستم لینوکسِ در معرض خطر ناشناخته بمانند. ویژگی کلیدی BPFDoor این است که به عوامل تهدید اجازه میدهد تمام ترافیک شبکه را ببینند و آسیبپذیریها را بیابند و همچنین کدهای راه دور را از طریق کانالهای فیلتر نشده و رفع انسداد ارسال کنند.
علاوه بر این، BPFDoor قادر است ترافیک مخرب را با ترافیک قانونی ترکیب کند و تشخیص و اصلاح را حتی دشوارتر کند.
BleepingComputer افزوده است که با توجه به اینکه هنوز هیچ آنتیویروسی BPFDoor را به عنوان بدافزار پرچمگذاری نمیکند، تنها راه مدیران سیستم برای شناسایی آن نظارت جدی بر ترافیک شبکه و گزارشهاست. آنها باید از پیشرفتهترین راهحلهای محافظت از نقطه پایانی استفاده کنند و یکپارچگی فایل را در «/var/run/initd.lock» نظارت کنند. زیرا اینجاست که BPFDoor قبل از اینکه خود را بهعنوان یک فرآیند کوچک اجرا کند، یک زمان اجرا ایجاد و قفل میکند.
TheHackerNews نیز ادعا میکند که BPFDoor معمولا توسط Red Menshen، یک عامل تهدید مرتبط با چین استفاده میشود. این گروه که از سال ۲۰۲۱ فعال است، بیشتر سیستمعاملهای لینوکس متعلق به ارائهدهندگان مخابراتی در خاورمیانه و آسیا و همچنین سازمانهای دولتی، شرکتهای آموزشی و شرکتهای لجستیک را هدف قرار داده است.
پس از به دست آوردن دسترسی اولیه، این گروه از ابزارهای سفارشی مختلفی مانند Mangzamel، Gh0st، Mimikatz و Metasplit استفاده میکند.
بیشتر فعالیتهای گروه در روزهای کاری و در ساعات کاری انجام میشود.
منبع: افتانا