Rapid7: BPFdoor misbruikt Linux-kernel voor diepe spionage

Telecommunicatienetwerken vormen het centrale zenuwstelsel van onze moderne wereld. Ze transporteren overheidscommunicatie, coördineren vitale industrieën en beheren de digitale identiteit van miljarden mensen. Wanneer deze netwerken worden gecompromitteerd, zijn de gevolgen niet te overzien. Het gaat dan niet meer om een simpel datalek bij één bedrijf, maar om de integriteit van de communicatie van volledige bevolkingsgroepen.

Waarom Telecom?

Moderne telecomnetwerken zijn complexe ecosystemen van routers, authenticatiesystemen en databases. Door toegang te krijgen tot de 'core' van een provider, krijgt een aanvaller zicht op:

• Identiteitsgegevens van abonnees.
• Signaleringsstromen (wie belt met wie, en waar bevinden zij zich?).
• Metadata van communicatie.

In het ergste geval kunnen aanvallers via protocollen zoals SCTP (gebruikt in 4G- en 5G-netwerken) de fysieke locatie van specifieke personen in real-time volgen.

BPFdoor: De onzichtbare sleutel

Centraal in deze operatie staat BPFdoor, een zogenaamde 'kernel-level' implant voor Linux-systemen. Wat deze malware uniek en angstaanjagend maakt, is de manier waarop hij zich verbergt.

In tegenstelling tot traditionele malware, opent BPFdoor geen poorten die door beveiligingssoftware gedetecteerd kunnen worden. In plaats daarvan misbruikt het de Berkeley Packet Filter (BPF) functionaliteit van het besturingssysteem. De malware "luistert" passief naar al het binnenkomende netwerkverkeer diep in de kern (kernel) van de computer.

De achterdeur blijft volledig inactief totdat de aanvaller een specifiek, zelfgemaakt pakketje stuurt: het zogenaamde 'magic packet'. Pas als deze digitale geheime code wordt herkend, opent de malware een toegangsweg voor de hacker. Voor een systeembeheerder lijkt het systeem ondertussen volledig schoon; er zijn geen actieve verbindingen of openstaande poorten zichtbaar.

Camouflage in HTTPS

Rapid7 ontdekte in de nieuwste varianten van BPFdoor dat de aanvallers nóg een stap verder gaan. Waar eerdere versies vertrouwden op simpele 'magic packets', verbergt de nieuwe variant zijn commando's in ogenschijnlijk legitiem HTTPS-verkeer.

De hackers maken gebruik van een wiskundig trucje, door Rapid7 de 'magic ruler' genoemd. Door HTTP-verzoeken op een specifieke manier op te vullen met extra bytes ('padding'), zorgen zij ervoor dat hun commando altijd op exact dezelfde positie in een datapakket staat (bijvoorbeeld op de 26e of 40e byte). Hierdoor kan de malware de instructies herkennen, zelfs als het verkeer door firewalls of proxies wordt aangepast.

Mimicry: vermomd als hardware

Een andere opvallende tactiek is het maskeren van processen. De malware vermomt zich als legitieme diensten van fabrikanten zoals HPE (ProLiant servers). In telecomomgevingen, waar honderden van dit soort servers draaien, valt een proces met de naam "hpasmlited" (een beheerprogramma van HP) totaal niet op. De hackers kopiëren zelfs de exacte foutmeldingen en gedragingen van deze hardware-software om forensisch onderzoekers te misleiden.

Conclusie en actie

De ontdekkingen van Rapid7 laten zien dat de strijd om cyberbeveiliging zich verplaatst van de buitenkant van het netwerk naar de diepste lagen van het besturingssysteem. "Kernel-level backdoors herdefiniëren wat stealth is," stelt het rapport.

Voor beheerders van kritieke infrastructuur is het advies helder: de focus moet verschuiven van het monitoren van de 'perimeter' naar diepe inspectie van het gedrag van servers. Om organisaties te helpen, heeft Rapid7 een open-source scanning-script gepubliceerd waarmee beheerders hun Linux-omgevingen kunnen controleren op de aanwezigheid van BPFdoor-implantaten.