BPFDoor Nedir? BPFDoor’un Çalışma Prensibi Nasıldır? BPFDoor ile Lateral Movement Nasıl Gerçekleşir? BPFDoor’un Hedef Aldığı Sektörler Hangileridir?
BPFDoor Nedir?
BPFDoor, 2022 yılında ortaya çıkan bir Linux backdoor (arka kapı) yazılımıdır. İlk olarak Asya ve Orta Doğu’daki hedeflere yönelik siber saldırılarda kullanıldığı tespit edilmiştir. Malware, uzun süreli istihbarat amaçlarına hizmet etmek üzere tasarlanmıştır ve saldırganların ele geçirilen sistemleri kontrol etmelerine ve hassas verilere erişmelerine olanak sağlar. BPFDoor’un en dikkat çekici yönü, tehdit aktörlerinin ele geçirilen iş istasyonlarını kontrol etmelerini ve hassas verilere erişimlerini sağlamak için kalıcı ancak gizli bir bağlantı yaratmasıdır.
BPFDoor’un Çalışma Prensibi Nasıldır?
BPFDoor, Berkeley Packet Filter (BPF) adlı bir teknolojiyi kullanmaktadır. BPF, programların açık bir sokete ağ filtreleri eklemesine olanak tanır ve bu sayede gelen ağ paketlerini denetleyebilir ve belirli bir "Magic Byte" dizisini izleyerek buna göre tepki verebilir. BPFDoor’un yarattığı arka kapı, yeterince korunaklı bir şekilde, yangın duvarları tarafından engellenmesine rağmen, hedef işletim sisteminin BPF uygulaması sayesinde devreye girebilir. Saldırganlar, BPF tarafından kontrol edilen paketleri kullanarak saldırıyı gerçekleştirir.
BPFDoor ile Lateral Movement Nasıl Gerçekleşir?
Söz konusu kötü amaçlı yazılım, ele geçirilmiş bir sistem içinde lateral hareket (yani, ağ içerisindeki diğer sistemlere geçiş yapma) imkanı sağlar. Trend Micro’nun yaptığı analizler, BPFDoor’un hedeflenen Linux sunucularında daha önce belgelenmemiş bir malware kontrol cihazı ile birlikte kullanıldığını ortaya çıkarmıştır. Kontrol cihazı, kullanıcıdan bir şifre talep eder ve bu şifre, BPFDoor’un kendi tarafında da kontrol edilir. Kullanıcı doğru şifreyi girdiğinde, kontrol cihazı aşağıdaki işlemlerden birini gerçekleştirmek üzere ele geçirilen makineyi yönlendirebilir: ters bir kabuk açma, yeni bağlantıları belirli bir port üzerinde bir kabuğa yönlendirme ya da arka kapının aktif olduğunu doğrulama.
BPFDoor’un Hedef Aldığı Sektörler Hangileridir?
BPFDoor, 2024 yılında Güney Kore, Hong Kong, Myanmar, Malezya ve Mısır gibi bölgelerde telekomünikasyon, finans ve perakende sektörlerine yönelik siber saldırılarda kullanılmıştır. Trend Micro’a göre, bu kampanya, "Earth Bluecrow" adıyla bilinen bir tehdit grubuna atfedilmektedir. Bu grup, "DecisiveArchitect", "Red Dev 18" ve "Red Menshen" gibi isimlerle de anılmaktadır. Bu bağlamda, BPFDoor’un yalnızca belirli sektörlere değil, aynı zamanda belirli coğrafi bölgelere odaklandığı görülmektedir.
BPFDoor gibi sofistike tehditlerle karşılaşıldığında, kurumların ve bireylerin siber güvenlik önlemlerini sürekli olarak güncellemeleri ve geliştirmeleri hayati önem taşımaktadır. Verilerin korunması ve kötü niyetli yazılımlara karşı savunmanın güçlendirilmesi adına BPFDoor’un analizi ve BPF kodunun incelenmesi kritik bir rol oynar.
