BPFDoor: Джеймс Бонд среди вирусов — без лицензии на убийство

BPFDoor — скрытый шпион в вашей сети

BPFDoor снова оказался в центре внимания специалистов по кибербезопасности. Этот мощный бэкдор, связанный с группировкой Earth Bluecrow (известной также как Red Menshen), нацелен на серверы под управлением Linux и славится своей скрытностью.

Согласно данным Trend Micro, BPFDoor активно используется в атаках на телеком, финансы и ритейл в Южной Корее, Гонконге, Мьянме, Малайзии и Египте. Злоумышленники применяют фильтрацию сетевых пакетов на уровне ядра через Berkeley Packet Filter (BPF) и настраивают обратные соединения для управления заражёнными системами.

Программа активируется при получении «магической последовательности» байтов в сетевом пакете. Она способна маскироваться, подменяя имена процессов, избегая журналов безопасности и не открывая порты, что делает её незаметной и устойчивой к обнаружению.

Обратная оболочка BPFDoor позволяет злоумышленникам подключаться извне, обходя входящий контроль, и перемещаться внутри корпоративной сети. Вредонос поддерживает TCP, UDP и ICMP — с их помощью передаются зашифрованные команды, настраиваются соединения и подбираются параметры под конкретную инфраструктуру.

Расследования указывают на целенаправленные атаки на стратегически важные секторы. Например, в Южной Корее и Мьянме пострадали телеком-компании, в Египте — банки, в Малайзии — розничная торговля.

Эксперты рекомендуют внимательно отслеживать нестандартный сетевой трафик, особенно пакеты с подозрительными последовательностями байтов по указанным протоколам. Маскировка, гибкость и обратные соединения делают BPFDoor серьёзной угрозой. Для защиты важно внедрять проактивные меры, тщательно мониторить сеть и быстро реагировать на инциденты.