BPFDoor kötü amaçlı yazılım, özellikle telekomünikasyon sektöründe yerli ve uluslararası kuruluşları hedefleyen önemli bir tehdit olarak ortaya çıkmıştır.
İlk olarak PWC tarafından 2021’de tanımlanan BPFDoor, Linux sistemlerine uzun vadeli kalıcılık ve kaçakçılığa vurgu yaparak sızmak için tasarlanmış son derece sofistike bir arka kapı kötü amaçlı yazılımdır.
25 Nisan 2025’te Kore İnternet ve Güvenlik Ajansı (KISA), kritik sistemlere dağıtımını onayladıktan sonra bu saldırıların artan sıklığını vurgulayarak bir güvenlik danışmanlığı yayınladı.
.png
)
Son zamanlarda kötü amaçlı yazılımları analiz eden S2W’nin Tehdit Araştırma ve İstihbarat Merkezi (Talon) raporuna göre, BPFDoor Berkeley Paket Filtresi (BPF) Technology-A Çekirdek seviyesi ağ oluşturma aracı, verimli paket filtrelemeye yöneliktir.
229 BPF komut setini kullanarak, kötü amaçlı yazılım, belirli tetikleme paketlerini filtreler ve geleneksel ağ bağlantı noktaları açmadan komut almasını sağlar, böylece kötü amaçlı trafiği meşru verilerle sorunsuz bir şekilde harmanlar.
Gelişmiş özellikler ve Dünya BlueCrow’a atıf
BPFDoor’un teknik karmaşıklığı, normal trafikteki faaliyetlerini maskelemek için 0x5293, 0x39393939 ve 0x7255 gibi sihirli dizileri kullanan TCP, UDP ve ICMP gibi standart olmayan iletişim protokollerini destekleme yeteneğinde yatmaktadır.
Süreç adı da dahil olmak üzere gelişmiş anti-forensik teknikleri, maskelenme, arka planonizasyon ve bellek tabanlı yürütme yapımı tespiti inanılmaz derecede zorlayıcıdır.
Kötü amaçlı yazılım ayrıca, komut ve kontrol etkileşimlerini gizlemek için bazen modası geçmiş RC4-MD5 süitleri veya kendi kendine imzalanmış SSL sertifikalarından yararlanan ters kabuk özellikleri ve şifreli iletişim kanalları kullanır.
Özellikle, BPFDoor sadece bu ilişkilendirmeyi güçlendiren tutarlı iletişim kalıpları ve sihirli dizilerle Çin destekli APT Grup Earth BlueCrow (Red Menshen olarak da bilinir) ile bağlantılıdır.
S2W’nin analizi, saldırganların, tehlikeye atılan ağlar içinde yanal hareket için BPFDoor’u kullandığını ve hedeflenen sistemlere uzun süreli erişim sağladığını göstermektedir.
Bu kalıcılığa, Mutex dosyası oluşturma gibi, yinelenen yürütme ve kök seviyesi erişimini sağlamak için ayrıcalık kontrollerini önlemek için sürekli sızma için titiz bir tasarım gösteren özellikler tarafından desteklenmektedir.
Artan tehditlerin ortasında hafifletme stratejileri
BPFDoor’un yeteneklerinin sonuçları, 2022’de GitHub’da kaynak kodunun halka açık olarak yayınlanmasıyla kanıtlandığı gibi, potansiyel olarak varyantları ve daha geniş sömürü sağlar.
S2W ve KISA, BPF filtre sorguları, sihirli sekans aramaları ve şifre hash’ında kullanılan ciltli kodlanmış tuz dizelerinin izlenmesi yoluyla enfeksiyon ön tespiti vurgulamak için bu tehdide karşı koyulmaları için sağlam azaltma stratejileri önermektedir.
Linux sunucularını yöneten kuruluşların soket bağlantılarını dikkatli bir şekilde izlemeleri, yürütülebilir dosya kurcalaması için denetlemeleri ve işlem adı bütünlüğünü doğrulamaları istenir.
S2W ayrıca, BPFDoor’un bilinen örneklerini ve varyantlarını tespit etmek ve savunma yeteneklerini geliştirmek için YARA kuralları da sağlamıştır.
Bu kötü amaçlı yazılım gelişmeye devam ettikçe, sürümler arasında gözlemlenen denetleyici seçenekleri ve sabit kodlu değerlerdeki farklılıklarla, siber güvenlik topluluğu statik göstergeler üzerinde davranış temelli algılamaya öncelik vermelidir.
BPFDoor’a karşı savaş, Earth Bluecrow gibi devlet destekli aktörler tarafından düzenlenen bu tür sinsi, kalıcı tehditlerden kritik altyapıyı korumak için ileri izleme ve proaktif tehdit avına yönelik kritik ihtiyacın altını çiziyor.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir