
Poiché si tratta di malware che sfrutta la presenza di backdoor, l’infezione non è stata segnalata per quasi cinque anni, secondo gli analisti di Sandfly Security. Il malware BPFdoor è progettato per consentire la connessione in remoto a una shell Linux e ottenere accesso completo al dispositivo infetto superando il firewall.
Inoltre, non necessita dell’apertura di porte, rendendolo ideale per lo spionaggio industriale.
Sommario degli argomenti
Il nuovo malware BPFdoor, come già anticipato sfrutta una backdoor, può ascoltare una o più porte da più host, consentendo agli aggressori d’inviare ordini da remoto alla rete infetta.
BPFdoor impiega uno sniffer Berkeley Packet Filter, che funziona a livello d’interfaccia di rete e può visualizzare tutto il traffico inviando pacchetti a qualsiasi destinazione.
Il malware BPFdoor, che colpisce sia Linux che Solaris, è in grado di superare le restrizioni del firewall poiché opera a un livello così basso.
BPFdoor esamina solo i pacchetti ICMP, UDP e TCP, cercando l’esistenza di un determinato valore di dati e password.
Ciò che lo distingue è la sua capacità di monitorare qualsiasi porta per il pacchetto d’interesse, anche se quelle porte sono utilizzate per altri servizi.
Se i pacchetti TCP e UDP includono i dati e la password cercate, la backdoor si attiva eseguendo un binding o una shell inversa. Poiché i pacchetti ICMP non richiedono password, è possibile utilizzare la funzione ping per cercare in Internet i sistemi BPFdoor operativi.
Per il momento, BPFdoor ha infettato reti di aziende in diversi paesi, tra cui Stati Uniti, Corea del Sud, Hong Kong, Turchia, India, Vietnam e Myanmar.
BPFdoor utilizza gli sniffer BPF per esaminare tutto il traffico di rete e identificare le vulnerabilità.
I filtri di pacchetto sono programmi che scansionano i “pacchetti” (file, metadati e traffico di rete) e li autorizzano o negano a seconda degli indirizzi IP, dei protocolli o delle porte di origine e destinazione. Definiti in modo semplice, i filtri dei pacchetti agiscono come una sorta di firewall, impedendo al malware di raggiungere i sistemi operativi.
Quando BPFDoor è attivo, bypassa i firewall per accettare i pacchetti prima di alterare il firewall locale o gli script per consentire a un attore di minacce di accedere a un sistema operativo. Infatti, può funzionare senza che vengano aperte porte e accettare comandi da qualsiasi indirizzo IP su Internet.
Inoltre, BPFDoor può praticamente consentire la trasmissione o la ricezione di qualsiasi pacchetto poiché gli indirizzi IP sono ciò che i filtri esaminano per approvare o negare l’accesso ai pacchetti.
Non appena si avvia, BPFdoor svolge una serie di azioni per garantire la persistenza e un passaggio regolare ai sistemi di controllo.
Alla ricezione di un pacchetto speciale, modifica il firewall locale per consentire all’indirizzo IP dell’attaccante di accedere a risorse come una shell generata o di riconnettersi a una shell di collegamento; le operazioni sono nascoste con il mascheramento del processo per evitare il rilevamento.
Diventa residente nella memoria e usa l’anti-forense e l’evasione per nascondersi; carica uno sniffer Berkeley Packet Filter (BPF) per controllare in modo efficiente il traffico e lavorare con qualsiasi firewall in esecuzione localmente per vedere i pacchetti.
I ricercatori di PwC affermano di aver scoperto BPFdoor durante un intervento di risposta agli incidenti, nonostante la mancanza di prove a sostegno.
L’intrusione, secondo PwC, è stata effettuata da un attore cinese che opera sotto lo pseudonimo di Red Menshen, che ha utilizzato BPFdoor per prendere di mira le società di telecomunicazioni in tutto il Medio Oriente e l’Asia, nonché organizzazioni pubbliche, private, e settori educativi e società di logistica.
Le indagini hanno rilevato che Red Menshen utilizzava versioni personalizzate dello strumento di accesso remoto Gh0st e della backdoor Mangzamel (RAT). Inoltre, per i sistemi Windows, gli strumenti open source includono Mimikatz (per estrarre le password) e la suite di Penetation Test Metasploit.
Come precedentemente indicato, questo malware è particolarmente dannoso per la sua natura silenziosa e nascosta.
Dopo aver attivato BPFdoor, il codice remoto può essere consegnato attraverso canali non filtrati e sbloccati.
Il traffico dannoso si mescola perfettamente con il traffico regolare, rendendo difficile il rilevamento di firewall e soluzioni di sicurezza. Come metodo di evasione, BPFdoor si rinomina dopo aver infettato una macchina.
Conclusione
Un esame tecnico di BPFDoor da parte della società d’intelligence sulle minacce e risposta agli incidenti, Tristan Pourcelot di ExaTrack, indica che il virus viene fornito con più nomi hardcoded che corrispondono alle stringhe di comando all’interno dei pacchetti pertinenti:
Justtryit, justrobot e justforfun per creare una shell di collegamento sulle porte da 42391 a 42491 socket o sockettcp per creare una shell inversa su un indirizzo IP incluso nel pacchetto.
I metodi di mimetizzazione di BPFDoor includono rinominare il binario sono:
-
/sbin/udevd -d
-
/sbin/mingetty /dev/tty7
-
/usr/sbin/console-kit-daemon –no-daemon
-
hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event
-
dbus-daemon –system
-
hald-runner
-
pickup -l -t fifo -u
-
avahi-daemon: chroot helper
-
/sbin/auditd -n
-
/usr/lib/systemd/systemd-journald
Secondo Pourcelot, gli attori di questa minaccia aggiornano regolarmente BPFDoor, migliorando ogni versione rinominando istruzioni, processi o file.
Di fatto, le versioni recenti sono state modificate dalle parole chiave dei comandi agli hash MD5, molto probabilmente per impedire il rilevamento.
Sulla piattaforma di scansione Virus Total sono state trovate almeno 21 varianti di BPFDoor, la prima delle quali risale al 2018.
Sebbene il tasso di rilevamento di questa minaccia sia in miglioramento, in particolare dopo che Beaumont, Rowland e Pourcelot hanno pubblicato i loro risultati, il virus è rimasto praticamente inosservato per un lungo periodo di tempo.
Una versione di BPFDoor per Solaris del 2019 è rimasta sconosciuta almeno fino al 7 maggio del 2022.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli

Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.