Support technique
Documentation
Connexion
Nous contacter
Deep instinct révèle une nouvelle variante de backdoor Linux baptisée BPFDoor
Le 24 mai 2023 - L'équipe de relations publiques de TuxCare
Deep Instinct a découvert l'existence de BPFDoor, une variante inédite et extrêmement insaisissable d'une porte dérobée Linux. Cette porte dérobée a gagné en popularité grâce à ses qualités exceptionnelles de furtivité, qui la rendent extrêmement difficile à détecter.
BPFDoor, également connu sous le nom de JustForFun, est un backdoor Linux passif affilié à l'organisation chinoise de lutte contre les menaces Red Menshen. Il tire son nom de l'utilisation de Berkeley Packet Filters (BPF), une technique largement utilisée dans les systèmes Linux pour analyser et filtrer le trafic réseau. Il a été découvert en mai 2022 par PwC et Elastic Security Labs. Les acteurs de la menace responsables de cette porte dérobée, DecisiveArchitect ou Red Dev 18, ont ciblé exclusivement des opérateurs de télécommunications au Moyen-Orient et en Asie.
L'objectif principal de ce logiciel malveillant est d'obtenir un accès à distance persistant aux ordinateurs infiltrés, ce qui permet aux acteurs de la menace de garder le contrôle de l'environnement ciblé pendant de longues périodes. Il est prouvé que l'équipe de pirates BPFDoor exploite cette porte dérobée sans se faire remarquer depuis plusieurs années.
En utilisant le BPF pour la communication réseau et en exécutant les instructions reçues, les acteurs de la menace peuvent pénétrer dans la machine d'une victime et exécuter des logiciels malveillants sans être détectés par les pare-feu habituels. Il a maintenant supprimé plusieurs indications codées en dur et inclus une bibliothèque statique pour le chiffrement (libtomcrypt) ainsi qu'un shell inversé pour les communications de commande et de contrôle (C2). Ces changements renforcent considérablement le caractère évasif du logiciel malveillant, rendant son identification encore plus difficile.
BPFDoor ignore soigneusement de nombreux signaux du système d'exploitation tout au long de son fonctionnement pour éviter d'être interrompu. Il crée ensuite une mémoire tampon et se connecte à une connexion de reniflage de paquets pour surveiller le trafic entrant à la recherche d'une certaine séquence d'octets magiques. Le virus interprète les paquets contenant ses Magic Bytes comme des communications de son opérateur en utilisant un filtre BPF sur le socket brut.
Le logiciel malveillant extrait deux champs critiques et bifurque ensuite, le processus parent observant attentivement le trafic filtré et le processus enfant interprétant les données analysées comme une combinaison IP-Port de commande et de contrôle, tentant ainsi d'établir un contact. BPFDoor ouvre ensuite une connexion shell inversée cryptée avec le serveur C2 et attend que des instructions supplémentaires soient exécutées sur le système compromis.
Les sources de cet article comprennent un article de TheHackerNews.
