BPFDoor no es nuevo en el ataque cibernetico juego, de hecho, pasó desapercibido durante años, pero los investigadores de PwC descubrieron la pieza de malware en 2021. Posteriormente, la comunidad de ciberseguridad está aprendiendo más sobre la naturaleza sigilosa del malware, cómo funciona y cómo se puede prevenir.
¿Qué es BPFDoor?
BPFPuerta es una pieza de malware asociada con el actor de amenazas con sede en China Red Menshen que ha afectado principalmente a los sistemas operativos Linux. No es detectado por los firewalls y pasa desapercibido por la mayoría de los sistemas de detección, tan desapercibido que ha sido un trabajo en progreso durante los últimos cinco años, pasando por varias fases de desarrollo y complejidad.
¿Como funciona?
BPF significa Berkley Packet Filters, lo cual es apropiado dado que el virus explota los filtros de paquetes. BPFDoor usa BPF «rastreadores» para ver todo el tráfico de red y encontrar vulnerabilidades. Los filtros de paquetes son programas que analizan «paquetes» (archivos, metadatos, tráfico de red) y permiten o rechazan su paso según las direcciones IP, protocolos o puertos de origen y destino. simplemente, los filtros de paquetes funcionan como una especie de cortafuegos para evitar que el malware infectado llegue a los sistemas operativos.
Cuando BPFDoor está en acción, se pone frente a los firewalls para recibir paquetes, luego modifica el firewall local o los scripts para permitir que un actor de amenazas ingrese a un sistema operativo. Puede funcionar sin abrir ningún puerto y puede recibir comandos desde cualquier dirección IP en la web. Y dado que las direcciones IP son lo que analizan los filtros para permitir o rechazar el acceso a los paquetes, BPFDoor esencialmente podría permitir que se envíe o reciba cualquier paquete. #sin filtro
¿Por qué es peligroso?
Como se indicó anteriormente, este malware es extremadamente peligroso debido a su naturaleza sigilosa y oculta. Una vez que se activa BPFDoor, el código remoto se puede enviar a través del pasaje sin filtrar y sin bloquear. El tráfico malicioso se mezcla con el tráfico legítimo, lo que dificulta que los firewalls y las soluciones de seguridad lo detecten. El BPFDoor también cambia su nombre después de infectar un sistema como técnica de evasión.
Los sistemas se han visto comprometidos en los EE. UU., Corea del Sur, Hong Kong, Turquía, India, Vietnam y Myanmar, y los objetivos han incluido organizaciones de telecomunicaciones, gubernamentales, educativas y logísticas.
¿Qué podemos hacer al respecto?
Para que BPFDoor se inicie, el actor de amenazas necesitaría cargar el binario malicioso en un servidor. Las mejores líneas de defensa son asegurarse de que las firmas de virus y malware estén actualizadas para detectar cualquier indicador potencial y crear reglas dentro de los entornos para ayudar a detectar lo aparentemente indetectable.