open-doors-1518244_1280.jpg

Backdoor vem atacando sistemas Linux e Solaris há mais de 5 anos

Da Redação
12/05/2022

Um malware de backdoor recentemente descoberto chamado BPFdoor vem atacando furtivamente sistemas Linux e Solaris sem ser notado há mais de cinco anos. O BPFdoor é uma backdoor Linux/Unix que permite que operadores de ameaças se conectem remotamente a um shell Linux para obter acesso completo a um dispositivo comprometido.

O malware não precisa abrir portas, não pode ser detido por firewalls e pode responder a comandos de qualquer endereço IP na web, o que o torna a ferramenta ideal para espionagem corporativa e ataques persistentes. Além disso, ele opera como uma backdoor passiva, o que significa que pode detectar em uma ou mais portas os pacotes recebidos de um ou mais hosts, que os invasores podem usar para enviar comandos remotamente para a rede comprometida.

O malware usa um Berkeley Packet Filter — BPF, daí o nome da backdoor —, que funciona na interface da camada de rede podendo ver todo o tráfego de rede e enviar pacotes para qualquer destino. Devido ao posicionamento em um nível tão baixo, o BPF não obedece a nenhuma regra de firewall.

Veja isso
RAT vendido a US$ 5 em fóruns russos instala backdoor
Backdoor localizado em clientes de WordPress da GoDaddy

“O BPFdoor tem versões para sistemas Linux e Solaris Sparc, mas também pode ser portado para BSD”, explicou ao BleepingComputer Craig Rowland, fundador da Sandfly Security, fornecedora de solução sem agente para proteger sistemas Linux. 

O pesquisador de segurança Kevin Beaumont, que publicou um post no blog BPFdoor, disse ao site americano que os operadores usam uma senha “mágica” para controlar as ações do implante. Segundo ele, o BPFdoor analisa apenas pacotes ICMP, UDP e TCP, verificando um valor de dados específico e também uma senha para os dois últimos tipos de pacotes. 

O que destaca o malware é que ele pode monitorar qualquer porta para o pacote mágico, mesmo que essas portas sejam usadas por outros serviços legítimos, como servidores web, FTP ou SSH. Se os pacotes TCP e UDP tiverem os dados “mágicos” corretos e uma senha correta, o backdoor entrará em ação executando um comando suportado, como configurar um shell de ligação ou reverso.

O pesquisador conseguiu encontrar o BPFdoor em atividade em redes de organizações em várias regiões geografias, principalmente nos EUA, Coréia do Sul, Hong Kong, Turquia, Índia, Vietnã e Mianmar.

Compartilhar: