概要

中国関連の脅威アクターであるRed Menshenは、世界中の通信ネットワークに秘密裏にバックドアを設置している。Rapid7 Labsによる最近の調査によると、この長期的なスパイ活動キャンペーンでは、高度に回避性のあるLinuxカーネルマルウェアであるBPFdoorが使用されている。

BPFdoorの特徴

一般的なマルウェアは通常、コマンド＆コントロールサーバーとの通信のために可視的なリッスンポートを開くため、ネットワークセキュリティ担当者にとって比較的容易に検出できる。しかし、BPFdoorはBerkeley Packet Filter (BPF)機能を悪用することでこの要件を完全に回避する。

BPFdoorはカーネル内に隠れたBPFフィルタをインストールし、入力トラフィックを直接監視する。特定のバイトシーケンスを含む「魔法のパケット」が検出されると、バックドアがアクティブ化してリモートシェルを生成する。

通信ネットワークへの影響

BPFdoorはStream Control Transmission Protocol (SCTP)トラフィックを監視することで、4Gと5G環境のコアネットワークシグナリングに直接アクセスできる。これにより、SMSメッセージの内容やサブスクライバーアイデンティティ、位置情報データを傍受することが可能になる。

長期的な生存性確保

BPFdoorは合法的なインフラストラクチャコンポーネントを模倣することで長期的な生存性を確保する。Rapid7の研究者は、HPE ProLiantサーバーなどのハイパフォーマンス環境向けに設計されたエンタープライズハードウェアサービスとして機能するバリアントを見つけた。

まとめ

BPFdoorは高度な回避技術を用いて通信ネットワークのコア部分に潜入し、長期的な監視と操作が可能となる。これにより、脅威アクターは国家レベルで重要な情報を取得することが可能になる。

元記事: https://gbhackers.com/hackers-implant-stealthy-bpfdoor-backdoors/