Скрытая вредоносная Linux программа обходит брандмауэр для удаленного доступа к устройству

Недавно обнаруженная вредоносная программа с бэкдором под названием BPFdoor уже более пяти лет незаметно атакует системы Linux и Solaris. BPFdoor представляет из себя Linux/Unix бэкдор, позволяющий злоумышленнику удаленно подключиться к оболочке Linux и получить полный доступ к скомпрометированному устройству.

Вредоносной программе не нужно открывать порты, ПО не обнаруживается брандмауэрами и может отвечать на удаленные команды с любого IP-адреса в Интернете. Такие возможности делают бэкдор идеальным инструментом для корпоративного шпионажа и постоянных атак. BPFdoor является пассивным бэкдором и может просматривать на портах входящие пакеты от хостов, позволяющие злоумышленнику удаленно отправлять команды в скомпрометированную сеть.

Вредоносная программа использует сниффер Berkeley Packet Filter (BPF), работающий на интерфейсе сетевого уровня и позволяющий просматривать весь сетевой трафик и отправлять пакеты в любое место назначения. Из-за расположения на таком низком уровне BPF не соблюдает правил брандмауэра.

BPFdoor анализирует только ICMP, UDP и TCP пакеты и проверяет их на наличие определенного значения данных, а также пароля для UDP и TCP пакетов. Отличительной чертой BPFDoor является способность отслеживать любой порт для magic packet (специальная последовательность байтов, которую для нормального прохождения по локальным сетям можно вставить в пакеты транспортного уровня, не требующие установки соединения), даже если порты используются другими службами, такими как веб-серверы, FTP (File Transfer Protocol) или SSH (Secure Shell). Если пакеты TCP и UDP содержат правильные “magic” данные и правильный пароль, бэкдор начинает выполнять поддерживаемую команду настройки привязки или обратной оболочки.

BPFdoor был обнаружен в сетях организаций США, Южной Кореи, Гонконга, Турции, Индии, Вьетнама и Мьянмы. Также 11 серверов Speedtest оказались заражены BPFdoor. По словам исследователя Бомонта, способ компрометирования устройств не понятен, тем более что серверы работают на программном обеспечении с закрытым исходным кодом.

Согласно техническому отчету о BPFdoor компании Sandfly Security, вредоносная программа использует некоторые тактики защиты от уклонения:

• Находится в системной памяти и стирает среду процесса, оставляя ее пустой);

• Загружает сниффер Berkeley Packet Filter (BPF) для работы работать перед любым локально запущенным брандмауэром для просмотра пакетов;

• Изменяет iptables правила при получении соответствующего пакета для обеспечения доступа злоумышленнику через локальный брандмауэр;

• Маскирует двоичный файл под именем, похожим на обычный системный демон Linux;

• Переименовывает и запускает себя как /dev/shm/kdmtmpflush;

• Изменяет дату двоичного файла (timestomping) на 30.10.2008 года перед его удалением и скрывает вредоносное ПО от поиска новых файлов в системе ;

Исследователи из PricewaterhouseCoopers (PwC) приписали бэкдор китайскому субъекту Red Menshen (ранее Red Dev 18), использовавший PFdoor для атак на телекоммуникационных провайдеров на Ближнем Востоке и в Азии, а также организаций в государственном, образовательном и логистическом секторах.

«Мы также определили, что субъект угрозы отправляет команды жертвам BPFDoor через VPN , управляющиеся через скомпрометированные маршрутизаторы, базирующиеся на Тайване, которые используют субъект угрозы в качестве VPN туннелей», - сказали исследователи PwC.

Ранее стало известно, что Китайская киберпреступная группировка Winnti в течение долгих лет похищает интеллектуальную собственность и другие чувствительные данные у американских и азиатских компаний.