Attenzione a BPFdoor, il nuovo malware inarrestabile che buca i firewall

BPFdoor è un pericoloso malware in grado di aggirare i firewall. E' usato anche è utilizzato anche per rubare e trasmettere pacchetti dati.
BPFdoor è un pericoloso malware in grado di aggirare i firewall. E' usato anche è utilizzato anche per rubare e trasmettere pacchetti dati.

E’ ancora allarme virus in Italia. Ma non parliamo ovviamente di Covid-19 in questo caso, quanto di informatica e in particolare malware. Negli  ultimi giorni alcuni ricercatori hanno notato un intensificarsi della presenza del BPFdoor in diversi sistemi soprattutto USA, Corea del Sud, Hong Kong, Turchia, India, Vietnam e Myanmar. Si tratta di un codice malevolo in grado di bypassare i firewall per connettersi da remoto a una shell di Linux. Il “suo” obiettivo è quello di prendere il controllo completo del sistema sotto attacco, ma in maniera “passiva”, rimanendo nascosto per mettersi in ascolto e rubare info e dati.

BPFdoor, il malware buca Firewall

A scoprire e segnalare la presenza di BPFdoor sono stati i ricercatori di Sandfly Security, secondo i quali il nuovo malware è riuscito ad agire indisturbato per anni contro i sistemi Linux e Solaris senza essere notato grazie alle sue peculiarità. Questo significa che ha infettato potenzialmente migliaia di istanze. Per la cronaca, la backdoor, che è stata notata anche dagli investigatori di PricewaterhouseCoopers nel loro ultimo Cyber ​​Threat Intelligence Retrospect Report, opera così:

  • Risiede nella memoria di sistema e mette in atto un’azione anti-forensics;
  • Al momento opportuno carica uno sniffer che gli consente di lavorare davanti a qualsiasi firewall locale in esecuzione per vedere i pacchetti;
  • Modifica le regole “iptables” quando riceve un pacchetto rilevante per consentire la comunicazione dell’attaccante attraverso il firewall locale.
  • Maschera il binario con un nome simile a quello di un comune elemento di sistema di Linux, e cambia la data del binario al 30 ottobre 2008, prima di eliminarlo.
  • Rinominaed esegue se stesso come /dev/shm/kdmtmpflush. 

Secondo Kevin Beaumont, esperto internazionale d sicurezza informatica, non è ancora chiaro chi ci sia dietro il proliferare di questo malware, ma considerato i precedenti, il sospetto ricade su Red Menshen, ovverosia un gruppo hacker di origine cinese che avrebbe utilizzato BPFdoor per attaccare alcuni provider del settore delle telecomunicazioni in Medio Oriente e Asia, oltre a vari enti governativi, del settore dell’istruzione e della logistica.

Per tutelare il proprio PC è consigliabile sempre dotarsi di un buon antivirus, magari capace di monitorare il sistema continuamente e di bloccare sul nascere ogni possibile minaccia. Da questo punto di vista potrebbe interessarvi il Panda Dome Essential 2022, in questo momento disponibile a sole 17€ a questo indirizzo. Tra le tante funzioni protegge anche l’esplorazione Internet e il Wi-Fi, da hacker.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Ti consigliamo anche

Link copiato negli appunti