BPFDoor
A Trend Micro jelentése szerint a BPFDoor nevű, Linux backdoor új, eddig ismeretlen vezérlőkomponenst alkalmaz, amelyet az Earth Bluecrow (Red Menshen) nevű, államilag támogatott APT-csoport használ. Ez a vezérlő lehetővé teszi a támadók számára, hogy mélyebb hozzáférést szerezzenek a kompromittált hálózatokban, például visszafordított shell kapcsolatokat nyissanak, vagy új kapcsolatokat irányítsanak át egy adott portra.
A BPFDoor a Berkeley Packet Filter (BPF) technológiát használja, amely lehetővé teszi, hogy a rosszindulatú program a hálózati csomagokat közvetlenül a kernel szintjén szűrje. Ezáltal a hátsó ajtó aktiválható speciális, úgynevezett “mágikus” csomagokkal, még akkor is, ha a tűzfal blokkolja azokat. A BPFDoor nem hallgatózik nyitott portokon, és képes megváltoztatni a folyamatneveket, így rendkívül nehéz észlelni.
A vezérlőprogram különböző parancssori opciókat kínál, amelyek lehetővé teszik a támadók számára, hogy meghatározzák a célgépen végrehajtandó műveleteket, például a kapcsolat típusát (TCP, UDP, ICMP), a célportot, a titkosítás használatát, valamint a magic csomagok szekvenciáját. A vezérlő csak akkor aktiválja a bank door-t, ha a megadott jelszó megegyezik a BPFDoor mintában előre beállított értékkel.
A Trend Micro telemetriai adatai szerint a BPFDoor célpontjai elsősorban a távközlési, pénzügyi és kiskereskedelmi szektorban tevékenykedő szervezetek Dél-Koreában, Hongkongban, Mianmarban, Malajziában és Egyiptomban. A támadók különböző útvonalakat használnak a rosszindulatú program elrejtésére, például a /tmp/zabbix_agent.log, /bin/vmtoolsdsrv és /etc/sysconfig/rhn/rhnsd.conf fájlokat.
