BPFDoor Controller
Investigadores de ciberseguridad han identificado un nuevo componente de controlador vinculado a la infame puerta trasera BPFDoor. Este último descubrimiento se produce en medio de ciberataques en curso contra los sectores de telecomunicaciones, finanzas y comercio minorista en Corea del Sur, Hong Kong, Myanmar, Malasia y Egipto en 2024.
Tabla de contenido
Profundizando: Capacidades de movimiento lateral y de carcasa inversa
El controlador recién descubierto puede abrir una shell inversa, una herramienta poderosa para los atacantes. Esta funcionalidad facilita el movimiento lateral, lo que permite a los ciberdelincuentes profundizar en las redes comprometidas, tomar el control de más sistemas y, potencialmente, acceder a datos confidenciales.
El rompecabezas de la atribución: ¿quién está detrás de la cortina?
Estos ataques se han vinculado provisionalmente a un grupo de amenazas denominado Earth Bluecrow, también conocido por alias como DecisiveArchitect, Red Dev 18 y Red Menshen. Sin embargo, esta atribución tiene un grado de certeza moderado. ¿El motivo? El código fuente de BPFDoor se filtró en 2022, lo que significa que otros actores de amenazas podrían estar aprovechándolo también.
BPFDoor: una herramienta de espionaje persistente y encubierta
BPFDoor es una puerta trasera de Linux expuesta por primera vez en 2022, aunque ya llevaba al menos un año en uso, atacando a organizaciones en Asia y Oriente Medio. Su principal característica es su capacidad para mantener acceso encubierto a largo plazo a las máquinas comprometidas, ideal para operaciones de espionaje.
Cómo funciona: La magia del filtro de paquetes Berkeley
El nombre del malware proviene del uso del Filtro de Paquetes Berkeley (BPF). El BPF permite al software inspeccionar los paquetes de red entrantes en busca de una secuencia específica de "Byte Mágico". Al detectar este patrón único, se activa la puerta trasera, incluso con un firewall instalado. Esto se debe a la forma en que el BPF opera a nivel de kernel, eludiendo las protecciones tradicionales del firewall. Si bien es común en rootkits, esta técnica es poco común en puertas traseras.
Un nuevo jugador: el controlador de malware no documentado
Análisis recientes revelan que los servidores Linux comprometidos también estaban infectados con un controlador de malware no documentado previamente. Una vez dentro de la red, este controlador facilita el movimiento lateral y extiende el alcance del atacante a otros sistemas.
Antes de enviar un "paquete mágico", el controlador solicita al operador una contraseña; esta debe coincidir con un valor predefinido en el malware BPFDoor. Si se autentica, puede ejecutar uno de los siguientes comandos:
- Abrir una shell inversa
- Redirigir nuevas conexiones a un shell en un puerto específico
- Verificar si la puerta trasera sigue activa
Capacidades mejoradas: compatibilidad con protocolos y cifrado
El controlador es versátil y admite los protocolos TCP, UDP e ICMP. También cuenta con un modo cifrado opcional para una comunicación segura. Un modo directo avanzado permite a los atacantes conectarse instantáneamente a las máquinas infectadas, siempre con la contraseña correcta.
Mirando hacia el futuro: la creciente amenaza del BPF
BPF abre un nuevo territorio, en gran parte inexplorado, para los ciberatacantes. Su capacidad para evadir las defensas tradicionales lo convierte en una herramienta atractiva para los creadores de malware sofisticados. Para los profesionales de la ciberseguridad, comprender y analizar las amenazas basadas en BPF es crucial para anticiparse a futuros ataques.
