haker pracujący w ciemności
Świat

Wielki powrót złośliwego oprogramowania dla Linuxa

Redakcja

Ostatnia aktualizacja: 17 września 2023, 19:30

BPFDoor to backdoor dla systemu Linux, który pozwala hakerom na zdalne łączenie się z powłoką systemu Linux i zyskanie pełnego i trudnego do wykrycia dostępu do zaatakowanego urządzenia. Obecnie coraz głośniej mówi się o niedawno odkrytej odmianie tego szkodliwego oprogramowania dla Linuxa. Jest bardziej niebezpieczna, ponieważ potrafi zagnieździć i ukryć się w systemie jeszcze skuteczniej niż pierwotna wersja.

Pierwsze wzmianki o BPFDoor pojawiły się już w 2017 roku, jednak dopiero w ciągu ostatniego roku to złośliwe oprogramowanie znalazło się na radarach użytkowników. To jednak nie wszystkie niepokojące wieści dla użytkowników Linuxa.

Czym jest BPFDoor?

BPFDoor to złośliwe oprogramowanie, które cechuje zdolność do omijania ograniczeń zapory ruchu przychodzącego przy jednoczesnym otrzymywaniu instrukcji z zewnątrz. Oznacza to, że hakerzy korzystający z BPFDoor mogą przez długi czas pozostawać w systemach Linux bez obaw o wykrycie.

BPFDoor analizuje tylko pakiety ICMP, UDP i TCP. Sprawdza je pod kątem określonej wartości danych. Sprawdza też hasła dla dwóch ostatnich typów pakietów. BPFDoor w odróżnieniu od innego rodzaju złośliwego oprogramowania, może monitorować dowolny port, nawet jeśli jest on używany przez inne legalne usługi, takie jak serwery WWW, FTP lub SSH.

Jakie ulepszenia wykryto w nowej wersji BPFDoor z 2023 roku?

• W nowej wersji BPFDoor jeszcze lepiej się ukrywa w systemie, nie wykorzystując żadnych zewnętrznych bibliotek. Zamiast tego wykorzystuje bibliotekę statyczną (inaczej niż w starszej wersji BPFDoor, która wykorzystywała algorytm szyfrujący RC4).

• Nowa wersja wykorzystuje też powłokę odwrotną, która łączy zainfekowanego hosta z serwerami dowodzenia i pozwala na komunikację z cyberprzestępcami nawet przy aktywnej zaporze sieciowej. Poprzednia wersja, wykorzystywana jeszcze do 2022 roku, bazowała na powłoce wiążącej.

• Wykrycie złośliwego oprogramowania przez oprogramowanie antywirusowe za pomocą analizy statycznej staje się jeszcze trudniejsze przez usunięcie zakodowanych poleceń.

Trudności z wykryciem BPFDoor

Administratorzy systemu mają spore problemy z wykrywaniem BPFDoor. Dotychczasowe oprogramowanie zabezpieczające staje się bezużyteczne, a jednym z rozwiązań, które już teraz stosują administratorzy systemu, jest intensywne monitorowanie dzienników i ruchu sieciowego.

Istotne jest też instalowanie wszystkich aktualizacji, które mogą załatać luki w zabezpieczeniach, takie jak te wykryte w 2019 roku, które zostały szybko wykorzystane przez BPFDoor. Do tej pory nowa wersja BPFDoor nie została oznaczona jako szkodliwa przez większość dostępnych silników antywirusowych.

Operacja „Dream Job”

Nie od dziś wiadomo, że phishing to jeden z najbardziej skutecznych sposobów na infekowanie urządzeń użytkowników. Jedną z ostatnich większych operacji skierowanych właśnie do użytkowników systemu Linux jest Dream Job.

Świetnie wyszkolona grupa hakerów powiązana z Koreą Północną wykorzystuje w niej techniki inżynierii społecznej, aby zachęcić swoje ofiary do otwarcia fałszywej oferty pracy (w formie pliku .zip), rzekomo przesłanej przez HSBC poprzez konto na LinkedInie. Przesłany plik to natywny 64-bitowy plik binarny Intel Linux napisany w Go i nazwany HSBC job Offer․pdf.zip.

Jeśli ofiara połknie haczyk i otworzy plik, jej urządzenie zostanie zainfekowane backdoorem SimplexTea Linux, który jest dystrybuowany za pośrednictwem konta pamięci masowej w chmurze OpenDrive.

Skutki ujawnienia kodu Babuk

W 2021 roku doszło do wycieku kodu źródłowego Babuk. Skutki tego wycieku są fatalne, ponieważ od tego czasu zidentyfikowano aż dziewięć grup ransomware, które wykorzystały VMware ESXi lockers na podstawie ujawnionego kodu. Narzędzie Babuk jest coraz częściej wykorzystywane przez osoby z mniejszymi zasobami, które nie decydują się na znaczącą modyfikację kodu, używając go do tworzenia ransomware ESXi i Linux.

W 2022 roku postanowiono przyjrzeć się bliżej nowemu wariantowi oprogramowania ransomware AstraLocker. Okazało się, że jest ono rozwidleniem oprogramowania Babuk ransomware-as-a-service.

Nowy wariant PingPull

Nie próżnują też chińscy hakerzy. PingPull to RAT (trojan zdalnego dostępu), który po raz pierwszy udokumentowano w 2022 roku. PingPull został użyty do ataków na organizacje finansowe i rządowe w Australii, Rosji, Belgii, Wietnamie, Malezji i na Filipinach. Obecnie nowy wariant wykorzystywany jest do ataków w Nepalu i krajach Afryki Południowej.

Click to rate this post!
[Total: 1 Average: 5]

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna jest chroniona przez reCAPTCHA i Google Politykę Prywatności oraz obowiązują Warunki Korzystania z Usługi.