BPPFDoor bukanlah hal baru dalam permainan serangan siber — sebenarnya, itu tidak terdeteksi selama bertahun-tahun — tetapi peneliti PwC menemukan bagian dari malware pada tahun 2021. Selanjutnya, komunitas keamanan siber mempelajari lebih lanjut tentang sifat tersembunyi dari malware, cara kerjanya, dan bagaimana hal itu dapat dicegah.
Apa itu BPFDoor?
BPFDoor adalah bagian dari malware yang terkait dengan aktor ancaman yang berbasis di China, Red Menshen, yang telah menyerang sebagian besar sistem operasi Linux. Ini tidak terdeteksi oleh firewall dan tidak diperhatikan oleh sebagian besar sistem deteksi — sangat tidak diperhatikan sehingga pekerjaan ini berlangsung selama lima tahun terakhir, melalui berbagai fase pengembangan dan kompleksitas.
Bagaimana cara kerjanya?
BPF adalah singkatan dari Berkley Packet Filters, yang sesuai mengingat virus mengeksploitasi filter paket. BPFDoor menggunakan “sniffer” BPF untuk melihat semua lalu lintas jaringan dan menemukan kerentanan. Filter paket adalah program yang menganalisis “paket” (file, metadata, lalu lintas jaringan) dan mengizinkan atau menolaknya untuk lewat berdasarkan alamat IP, protokol, atau port sumber dan tujuan. Sederhananya, filter paket berfungsi sebagai semacam firewall untuk mencegah malware yang terinfeksi mencapai sistem operasi.
Ketika BPFDoor beraksi, ia berada di depan firewall untuk menerima paket, kemudian memodifikasi firewall atau skrip lokal untuk mengizinkan aktor ancaman masuk ke sistem operasi. Itu dapat berfungsi tanpa membuka port apa pun dan dapat menerima perintah dari alamat IP mana pun di web. Dan karena alamat IP adalah apa yang dianalisis oleh filter untuk mengizinkan atau menolak akses ke paket, BPFDoor pada dasarnya dapat mengizinkan paket apa pun untuk dikirim atau diterima. #nofilter
Mengapa Berbahaya?
Seperti yang dinyatakan sebelumnya, malware ini sangat berbahaya karena sifatnya yang tersembunyi dan tersembunyi. Setelah BPPFDoor diaktifkan, kode jarak jauh dapat dikirim melalui jalur yang tidak difilter dan tidak diblokir. Lalu lintas berbahaya menyatu dengan lalu lintas yang sah, sehingga firewall dan solusi keamanan sulit untuk dideteksi. BPPFDoor juga mengganti namanya sendiri setelah menginfeksi sistem sebagai teknik penghindaran.
Sistem telah disusupi di AS, Korea Selatan, Hong Kong, Turki, India, Vietnam, dan Myanmar, dan targetnya mencakup organisasi telekomunikasi, pemerintah, pendidikan, dan logistik.
Apa boleh buat?
Agar BPPFDoor diluncurkan, aktor ancaman perlu mengunggah biner berbahaya ke server. Garis pertahanan terbaik adalah memastikan bahwa tanda tangan virus dan malware mutakhir untuk menangkap indikator potensial apa pun dan membuat aturan dalam lingkungan untuk membantu mendeteksi yang tampaknya tidak terdeteksi.