كشفت أبحاث أمنية جديدة عن عودة سلالات خطيرة من برنامج التجسس المعروف باسم BPFDoor، حيث تم تطويرها بتقنيات متقدمة للغاية تجعل من اكتشافها وإزالتها تحدياً كبيراً، خاصة عند اختراق البنية التحتية الحساسة للاتصالات.
هذه التهديدات الإلكترونية، التي يرتبط مطوروها بمجموعة Red Menshen ذات الصلة بالصين، تستهدف بشكل خاص خوادم لينكس العاملة ضمن شبكات الاتصالات العالمية، مما يثير قلقاً متزايداً بشأن الأمن السيبراني في قطاعات حيوية.
تتميز هذه النسخ المحدثة بآليات تمكنها من البقاء غير مرئية لفترات طويلة، مما يمنح المهاجمين سيطرة مستمرة على الأنظمة المخترقة دون إثارة إنذارات.
يعمل BPFDoor عبر استغلال خاصية Berkeley Packet Filter، وهي وظيفة شرعية في نواة لينكس تُستخدم لفحص وتصفية حركة مرور الشبكة. يقوم البرنامج الخبيث بتحميل فلتر BPF مخصص يتحسس كل حزمة بيانات واردة على النظام المصاب، دون فتح أي منفذ مرئي.
نتيجة لذلك، لا تكتشف جدران الحماية أي نشاط غير طبيعي، وتظهر فحوصات المنافذ القياسية نتائج سليمة. يبقى الباب الخلفي في حالة سكون حتى يستقبل إشارة محددة، تُعرف باسم “الحزمة السحرية”، ولا ينشط إلا عند وصول هذه الإشارة.
هذه الطبيعة السلبية هي ما سمح لـ BPFDoor بالبقاء غير مكتشف في الشبكات المخترقة منذ شهور أو حتى سنوات.
تحسينات BPFDoor: تفادي الكشف عبر الاتصالات عديمة الحالة ومرحل ICMP
حدد محللو Rapid7 سبعة من سلالات BPFDoor الجديدة بعد تحقيق استمر عدة أشهر، تضمن تحليل ما يقرب من 300 عينة برمجيات خبيثة. كشفت أبحاثهم عن نوعين رئيسيين جديدين، icmpShell و httpShell، وكلاهما يعزز بشكل كبير قدرة الباب الخلفي على التخفي والعمل دون اكتشاف.
تُدخل هذه السلالات آليات اتصالات عديمة الحالة (stateless C2) واستضافة ICMP (ICMP relay) كميزات أساسية، مما يوفر للمهاجمين وسيلة لإدارة الأجهزة المخترقة دون ترك أي بصمة رقمية ثابتة.
تم العثور على البرنامج الخبيث يعمل داخل البنية التحتية الأساسية لشركات الاتصالات، مما يمنح المهاجمين وصولاً دائماً طويل الأمد لاعتراض الاتصالات الحساسة والتلاعب بها. يشير نمط النشاط إلى أن هذه الأداة مصممة خصيصاً لاستهدافات ذات قيمة عالية وعميقة في البنية التحتية.
إن دعمه لبروتوكولات الاتصالات الأصلية مثل SCTP، بالإضافة إلى وعيه ببيئات تشغيل الحاويات، يوضح أن هذه الأداة صممت خصيصاً لأهداف التجسس السيبراني طويلة الأمد.
الاتصالات عديمة الحالة ومرحل ICMP: التخفي في الشبكات
أحد أبرز التغييرات في السلالات الجديدة هو كيفية معالجتها للاتصالات مع مشغليها. في الإصدارات القديمة، كان عنوان IP الخاص بالمهاجم يُدمج مباشرة في حمولة الحزمة السحرية، وهو ما يمكن أن يلتقطه المدافعون.
تعالج الإصدارات الجديدة هذه المشكلة من خلال علامة خاصة “-1″، يتم تعيينها إلى عنوان البث 255.255.255.255. عندما تظهر هذه العلامة في بنية الحزمة السحرية، يتجاهل البرنامج الخبيث أي عنوان مدمج ويعيد توجيه الاتصال الخلفي إلى عنوان IP المصدر الموجود في ترويسة الحزمة الأصلية.
هذا يجعل وحدة تحكم المهاجم عديمة الحالة تماماً، مما يسمح لهم بالعمل من خلف أجهزة NAT أو VPN دون الكشف عن عنوان ثابت للقيادة والتحكم.
عندما يفشل فحص المصادقة، لا يصمت الجهاز المخترق ببساطة، بل يصبح عقدة ترحيل مخفية داخل الشبكة. يقرأ البرنامج الخبيث عنوان IP داخلياً من حقل بروتوكول هوية المضيف (Host Identity Protocol) المضمن في حزمة ICMP، ويعيد كتابة بايتات التفعيل الرئيسية، ويرسل طلب صدى ICMP معدّل نحو هذا العنوان الداخلي.
يسمح هذا فعلياً للمهاجمين بتمرير الأوامر عبر الأنظمة الداخلية باستخدام حركة مرور Ping، والتي لا تكتشفها معظم أدوات المراقبة. لمنع حلقات الترحيل، يقوم البرنامج الخبيث بإعادة تعيين IP القفزة إلى “-1” بعد كل حزمة مُعاد توجيهها.
يفتح الباب الخلفي ثلاثة منافذ متوازية لـ TCP و UDP و ICMP، مما يوفر له شبكة احتياطية إذا قام المدافعون بحظر قناة واحدة.
على المضيف، يقوم بإخفاء عمليته على أنها خدمة مشروعة مثل HPE Insight Management Agents، ويقوم بتعديل طوابع الوقت، ويمحو واصفات الملفات لمحو جميع الآثار. يجب على فرق الأمان مراقبة استخدام المقابس الخام على نقاط نهاية لينكس، وتدقيق أسماء العمليات مقابل الخدمات المعروفة، ومراقبة حركة ICMP غير المتوقعة داخل الشبكات الداخلية.