كشف باحثون في مجال الأمن السيبراني عن وحدة تحكم جديدة مرتبطة بالباب الخلفي المعروف باسم BPFDoor، تم استخدامها ضمن هجمات إلكترونية استهدفت قطاعات الاتصالات والتمويل والتجزئة في كوريا الجنوبية، هونغ كونغ، ميانمار، ماليزيا، ومصر خلال عام 2024.
وقال الباحث في شركة Trend Micro، فرناندو ميرسيس، في تقرير تقني نُشر مؤخرًا:
“تُمكن وحدة التحكم من فتح قشرة عكسية (Reverse Shell)، مما يسمح للمهاجمين بالتحرك الجانبي داخل الشبكة المصابة والتحكم في المزيد من الأنظمة أو الوصول إلى بيانات حساسة.”
المجموعة المهاجمة: Earth Bluecrow
تم إسناد هذه الحملة بمجموعة تهديد تُعرف باسم Earth Bluecrow، والمعروفة أيضًا بأسماء مثل DecisiveArchitect و Red Dev 18 و Red Menshen. ورغم هذا، يشير الباحثون إلى أن الثقة في هذا الإسناد متوسطة فقط، بسبب تسريب الشيفرة المصدرية لبرمجية BPFDoor عام 2022، ما قد يُتيح لمجموعات اختراق أخرى إعادة استخدامها.
ما هو BPFDoor؟
BPFDoor هو باب خلفي يستهدف أنظمة Linux، تم اكتشافه لأول مرة في عام 2022، لكنه كان مستخدمًا قبل ذلك على الأقل بعام في عمليات تجسس إلكتروني طويلة الأمد ضد أهداف في آسيا والشرق الأوسط.
يُعرف BPFDoor بقدرته على إنشاء قناة اتصال دائمة وخفية تسمح للمهاجمين بالتحكم في الأجهزة المصابة والوصول إلى البيانات الحساسة لفترات طويلة، دون إثارة الشكوك.
يستمد BPFDoor اسمه من استخدامه لتقنية Berkeley Packet Filter (BPF)، وهي تقنية تُمكن البرامج من مراقبة حزم الشبكة والتحقق من تتابع معين من البيانات يُعرف باسم “Magic Byte”، مما يُفعّل البرمجية الخبيثة عند استلام الحزمة.
“بفضل الطريقة التي يُطبَّق بها BPF في نظام التشغيل المستهدف، يمكن للحزمة السحرية تفعيل الباب الخلفي حتى لو تم حظرها بواسطة الجدار الناري،” حسبما أوضح ميرسيس.
“رغم أن هذه الميزات شائعة في أدوات الـRootkit، إلا أنها نادراً ما تُستخدم في الأبواب الخلفية.”
وحدة تحكم جديدة تدعم التحرك الجانبي في شبكات لينكس
تحليل Trend Micro أظهر أن الخوادم المصابة بباب BPFDoor تحتوي أيضًا على وحدة تحكم جديدة لم يتم توثيقها سابقًا، تُستخدم لاختراق أجهزة أخرى داخل نفس الشبكة بعد تنفيذ التحرك الجانبي.
وشرح الباحث أن وحدة التحكم:
-
تطلب من المهاجم إدخال كلمة مرور يتم التحقق منها في جانب الباب الخلفي.
-
تُوجه الجهاز المخترق لأداء أحد الأوامر التالية حسب الكلمة والخيارات المستخدمة:
أوامر وحدة التحكم:
-
فتح Shell عكسي (Reverse Shell)
-
إعادة توجيه الاتصالات الجديدة إلى Shell عبر منفذ معين
-
تأكيد ما إذا كان الباب الخلفي نشطًا
ويُشترط أن تتطابق كلمة المرور المُستخدمة مع إحدى القيم المخزنة داخل الكود المصدري لبرمجية BPFDoor.
وإضافة إلى ذلك، تدعم وحدة التحكم بروتوكولات متعددة مثل TCP، UDP، وICMP للتحكم في الأجهزة المصابة، ويمكن تفعيل وضع اتصال مشفر اختياريًا لضمان الأمان.
أيضًا، تحتوي وحدة التحكم على وضع مباشر (Direct Mode) يُمكّن المهاجم من الاتصال مباشرة بجهاز مصاب وفتح Shell للوصول عن بُعد — لكن فقط عند تقديم كلمة المرور الصحيحة.
تهديد متطور باستخدام BPF
صرّح ميرسيس:
“BPF يفتح آفاقًا جديدة غير مستكشفة يمكن لمطوري البرمجيات الخبيثة استغلالها.
كباحثين في التهديدات، علينا الاستعداد للتطورات المستقبلية من خلال تحليل كود BPF لحماية المؤسسات من تهديدات تعتمد على هذه التقنية.”
