Il virus, recentemente scoperto e segnalato dai ricercatori di Sandfly Security, è passato inosservato per oltre cinque anni poiché è un malware di tipo backdoor. Per sua natura il Malware BPFdoor permette di conettersi in remoto ad una shell Linux, ottenendo l’accesso completo al dispositivo compromesso senza allertare il firewall. Inoltre non ha bisogno di aprire porte, rendendolo così perfetto per lo spionaggio industriale.
Essendo di tipo backdoor, il nuovo malware è in grado di restare in ascolto di una o più porte da diversi host, cosa che permette a chi attacca di inviare comandi da remoto alla rete compromessa. Esso utilizza un Berkeley Packet Filter sniffer che opera a livello di interfaccia di rete ed è in grado di vedere tutto il traffico inviando pacchetti a qualsiasi destinazione. Poiché lavora ad un livello così basso, il malware BPFdoor, che affligge sia Linux che Solaris, non si attiene alle regole del firewall.
Questa nuova minaccia opera attraverso un attacker che usa una parola chiave “magica” per controllare le azioni del sistema preso di mira. BPFdoor analizza solo i pacchetti ICMP, UDP e TCP, verificando la presenza di uno specifico valore di dati e di una password per questi ultimi due tipi di pacchetti.
A distinguerlo è il fatto che può monitorare ogni porta in cerca del pacchetto magico, anche se quelle porte si usano per altri servizi. Se i pacchetti TCP e UDP contengono i dati “magici” giusti e una password corretta, la backdoor entra in azione eseguendo una bind o una reverse shell.
I pacchetti ICMP non necessitano di password, il che permette di scansionare Internet alla ricerca di sistemi BPFdoor in esecuzione utilizzando la funzione ping.
Per ora, BPFdoor ha infettato reti di organizzazioni in varie aree geografiche, come Stati Uniti, Corea del Sud, Hong Kong, Turchia, India, Vietnam e Myanmar.
Come già delineato, lo schema di attacco è semplice quanto efficace. In primis, il malintenzionato di turno invia un pacchetto di attivazione con il numero “magico” ad ogni porta. Il sistema vede il pacchetto prima che il firewall possa rifiutarlo e apre una shell su una porta TCP alta. In seguito riconfigura il firewall per ridirezionare i pacchetti dall’attaccante alla porta shell; il traffico di rete sembra così andare ad una porta legittima ma in realtà lo si reindirizza alla shell.
Come nota Craig Rowland della Sandfly Security, il malware impiega tecniche evasive intelligenti.
Una volta stabilitosi nella memoria di sistema, attua azioni anti-forensics cancellando i processi d’ambiente. Carica poi uno sniffer (il BPF appunto) che gli consente di lavorare davanti a qualsiasi firewall locale in esecuzione per vedere i pacchetti; grazie a ciò modifica le regole “iptables” quando ne riceve uno rilevante, per consentire la comunicazione dell’attaccante attraverso il firewall locale.
Una volta fatto, nasconde il binario con un nome simile a quello di un comune elemento di sistema di Linux, e cambia la data del binario (così detto timestomping) al 30 ottobre 2008, prima di eliminarlo.
In ultimo rinomina ed esegue se stesso col nome /dev/shm/kdmtmpflush.
Rowland spiega il timestomping ipotizzando che l’attaccante voglia proteggere il binario in caso di una sua possibile eliminazione. Oppure potrebbe servire a nascondere il malware da una ricerca di nuovi file sul sistema.
Quando l’host infetto riceve un pacchetto speciale BPFdoor, il malware genera una nuova istanza e modifica le regole iptables locali per effettuare il reindirizzamento discusso in precedenza.
Per questo la modifica delle regole del firewall è importante: permette agli aggressori di comunicare con la backdoor attraverso un traffico che i firewall non possono segnalare come sospetto.
Sebbene non ci siano prove, i ricercatori di PricewaterhouseCoopers (PwC) affermano di aver trovato BPFdoor durante un intervento di risposta agli incidenti.
PwC ha attribuito l’intrusione a un attore con sede in Cina, che ha preso il nome di Red Menshen (ex Red Dev 18) e ha utilizzato BPFdoor su fornitori di telecomunicazioni in tutto il Medio Oriente e l’Asia, nonché su entità nei settori governativo, dell’istruzione e della logistica.
Le indagini, hanno evidenziato che Red Menshen utilizzava varianti personalizzate della backdoor Mangzamel e dello strumento di accesso remoto (RAT) Gh0st. Questo unitamente a strumenti open-source come Mimikatz (per estrarre le credenziali) e la suite di test di penetrazione Metasploit, per i sistemi Windows.