„Neue geheime Variante der BPFDoor Linux-Backdoor entdeckt“

Einem kürzlich erschienenen technischen Bericht des Cybersecurity-Unternehmens Deep Instinct zufolge wurde eine neue Variante der Linux-Backdoor BPFDoor entdeckt. Die Malware ist dafür bekannt, dass sie extrem schwer zu erkennen ist, und wird mit einem chinesischen Bedrohungsakteur namens Red Menshen in Verbindung gebracht. Es wird angenommen, dass diese Gruppe seit mindestens 2021 Telekommunikationsanbieter im Nahen Osten und in Asien ins Visier genommen hat.

BPFDoor ist eine passive Linux-Backdoor, die einen dauerhaften Fernzugriff auf ein kompromittiertes System ermöglicht. Der Virus erreicht dies, indem er den Netzwerkverkehr auf Linux-Rechnern analysiert und filtert und neue Aufträge mit Berkeley Packet Filters(BPF) verarbeitet. Die Blockierung von überflüssigem Datenverkehr ermöglicht es Angreifern, beliebige Programme auszuführen, ohne dass das Antivirenprogramm dies erkennt.

Die neueste Version von BPFDoor ist sogar noch ausweichender als frühere Versionen, da sie keine fest kodierten Indikatoren mehr enthält. Stattdessen enthält es eine inverse Shell für Command-and-Control (C2)-Interaktion und ein eingebautes Entschlüsselungsmodul(libtomcrypt). Außerdem ignoriert der Virus mehrere Warnmeldungen des Betriebssystems, um nicht entfernt zu werden.

Das BPFDoor-Artefakt, das Deep Instinct für seine Entdeckungen verwendet hat, wurde am 8. Februar 2023 auf VirusTotal veröffentlicht. Nur drei Sicherheitsunternehmen haben die ELF-Datei zum jetzigen Zeitpunkt als schädlich eingestuft. Da die Malware jedoch lange Zeit im Verborgenen bleiben kann, ist es wahrscheinlich, dass sie für Angriffe verwendet wurde, die unentdeckt geblieben sind.

Die Tatsache, dass BPFDoor lange Zeit im Verborgenen geblieben ist, spricht für seine Raffinesse. Sie unterstreicht den zunehmenden Bedarf an Schutz vor Malware, die auf Linux-Systeme abzielt, die in Unternehmen und Cloud-Umgebungen weit verbreitet sind.

Als Reaktion auf diese Bedrohung hat Google die Entwicklung eines neuen erweiterten Berkeley Packet Filter (eBPF) Fuzzing Frameworks namens Buzzer angekündigt. Dieser Rahmen wird dazu beitragen, den Linux-Kernel zu stärken und die Legitimität und Sicherheit von Sandbox-Programmen zu gewährleisten, die in einem geschützten Kontext ausgeführt werden.