BPFDoor Controller
Des chercheurs en cybersécurité ont identifié un nouveau composant de contrôleur lié à la célèbre porte dérobée BPFDoor. Cette dernière découverte intervient dans un contexte de cyberattaques visant les secteurs des télécommunications, de la finance et de la vente au détail en Corée du Sud, à Hong Kong, au Myanmar, en Malaisie et en Égypte en 2024.
Table des matières
Creuser plus profondément : capacités de coque inversée et de mouvement latéral
Le contrôleur nouvellement découvert peut ouvrir un shell inversé, un outil puissant pour les attaquants. Cette fonctionnalité permet un déplacement latéral, permettant aux cybercriminels d'infiltrer plus profondément les réseaux compromis, de prendre le contrôle d'autres systèmes et potentiellement d'accéder à des données sensibles.
Puzzle d’attribution : qui se cache derrière le rideau ?
Ces attaques ont été provisoirement liées à un groupe malveillant baptisé Earth Bluecrow, également connu sous des pseudonymes tels que DecisiveArchitect, Red Dev 18 et Red Menshen. Cependant, cette attribution est moyennement fiable. La raison ? Le code source de BPFDoor a fuité en 2022, ce qui signifie que d'autres acteurs malveillants pourraient désormais l'exploiter.
BPFDoor : un outil d’espionnage persistant et secret
BPFDoor est une porte dérobée Linux, découverte pour la première fois en 2022, bien qu'elle soit déjà utilisée depuis au moins un an et cible des organisations en Asie et au Moyen-Orient. Sa particularité réside dans sa capacité à maintenir un accès secret et durable aux machines compromises, idéal pour les opérations d'espionnage.
Comment ça marche : la magie du filtre de paquets Berkeley
Le nom du malware vient de son utilisation du filtre de paquets Berkeley (BPF). Ce filtre permet au logiciel d'inspecter les paquets réseau entrants à la recherche d'une séquence spécifique d'octets magiques. La détection de ce modèle unique déclenche la porte dérobée, même en présence d'un pare-feu. Cela est dû au fonctionnement du filtre au niveau du noyau, contournant les protections pare-feu traditionnelles. Bien que courante dans les rootkits, cette technique est rare dans les portes dérobées.
Un nouvel acteur : le contrôleur de logiciels malveillants non documenté
Une analyse récente révèle que des serveurs Linux compromis ont également été infectés par un contrôleur malveillant jusqu'alors inconnu. Une fois à l'intérieur du réseau, ce contrôleur facilite les déplacements latéraux et étend la portée de l'attaquant à d'autres systèmes.
Avant d'envoyer un « paquet magique », le contrôleur demande à l'opérateur un mot de passe ; ce mot de passe doit correspondre à une valeur codée en dur dans le logiciel malveillant BPFDoor. Une fois authentifié, il peut exécuter l'une des commandes suivantes :
- Ouvrir un shell inversé
- Rediriger les nouvelles connexions vers un shell sur un port spécifique
- Vérifiez si la porte dérobée est toujours active
Capacités améliorées : prise en charge du protocole et cryptage
Polyvalent, le contrôleur prend en charge les protocoles TCP, UDP et ICMP. Il propose également un mode chiffré optionnel pour une communication sécurisée. Un mode direct avancé permet aux attaquants de se connecter instantanément aux machines infectées, uniquement avec le mot de passe correct.
Perspectives d’avenir : la menace croissante du BPF
Le BPF ouvre un nouveau territoire largement inexploré aux cyberattaquants. Sa capacité à contourner les défenses traditionnelles en fait un outil attrayant pour les auteurs de logiciels malveillants sophistiqués. Pour les professionnels de la cybersécurité, comprendre et analyser les menaces basées sur le BPF est essentiel pour anticiper les futures attaques.
