
BPFDoor n’est pas nouveau dans le jeu des cyberattaques – en fait, il n’a pas été détecté pendant des années – mais les chercheurs de PwC ont découvert le logiciel malveillant en 2021. Par la suite, la communauté de la cybersécurité en apprend davantage sur la nature furtive des logiciels malveillants, son fonctionnement et comment cela peut être évité.
Qu’est-ce que BPFDoor ?
BPFDoor est un logiciel malveillant associé à l’acteur menaçant basé en Chine, Red Menshen, qui a principalement touché les systèmes d’exploitation Linux. Il n’est pas détecté par les pare-feu et passe inaperçu par la plupart des systèmes de détection – si inaperçu qu’il a été un travail en cours au cours des cinq dernières années, traversant diverses phases de développement et de complexité.
Comment ça marche?
BPF signifie Berkley Packet Filters, ce qui est approprié étant donné que le virus exploite les filtres de paquets. BPFDoor utilise des « renifleurs » BPF pour voir tout le trafic réseau et trouver les vulnérabilités. Les filtres de paquets sont des programmes qui analysent les « paquets » (fichiers, métadonnées, trafic réseau) et autorisent ou refusent leur passage en fonction des adresses IP, des protocoles ou des ports source et de destination. Pour le dire simplement, les filtres de paquets fonctionnent comme une sorte de pare-feu pour empêcher les logiciels malveillants infectés d’atteindre les systèmes d’exploitation. Lorsque BPFDoor est en action, il se place devant les pare-feu pour recevoir des paquets, puis modifie le pare-feu local ou les scripts pour permettre à un acteur de la menace d’entrer dans un système d’exploitation. Il peut fonctionner sans ouvrir aucun port et peut recevoir des commandes de n’importe quelle adresse IP sur le Web. Et puisque les adresses IP sont ce que les filtres analysent pour autoriser ou refuser l’accès aux paquets, BPFDoor pourrait essentiellement autoriser l’envoi ou la réception de n’importe quel paquet.
Pourquoi est-ce dangereux ?
Comme indiqué précédemment, ce malware est extrêmement dangereux en raison de sa nature furtive et cachée. Une fois que BPFDoor est activé, le code à distance peut être envoyé à travers le passage non filtré et non bloqué. Le trafic malveillant se mélange au trafic légitime, ce qui rend difficile la détection des pare-feu et des solutions de sécurité. Le BPFDoor se renomme également après avoir infecté un système en tant que technique d’évasion.

Les systèmes ont été compromis aux États-Unis, en Corée du Sud, à Hong Kong, en Turquie, en Inde, au Vietnam et au Myanmar, et les cibles comprenaient des organisations de télécommunications, gouvernementales, d’éducation et de logistique.
Que pouvons-nous y faire?
Pour que BPFDoor se lance, l’auteur de la menace devrait télécharger le binaire malveillant sur un serveur. Les meilleures lignes de défense consistent à s’assurer que les signatures de virus et de logiciels malveillants sont à jour pour détecter tout indicateur potentiel et à créer des règles au sein des environnements pour aider à détecter ce qui semble indétectable.