BPFdoor ist bereits ohne die neuesten Upgrades eine der gefährlichsten Malware-Waffen im Arsenal von Cyberkriminellen. Das Programm lädt sich in den Linux-Kernel ein und verharrt dort nahezu unbemerkt, während es den Berkeley Packet Filter (BPF) nutzt, um Netzwerkverkehr zu überwachen. Nur bei Empfang einer speziellen Aktivierungsnachricht wird die Malware tätig.
Doch Red Menshen hat diese bereits beeindruckende Technik nun weiter verfeinert. Statt nach generischen Netzwerkpaketen zu suchen, tarnt sich BPFdoor jetzt als harmloses HTTPS-Protokoll. Das ist ein kluger Schachzug: Firewalls können HTTPS-Traffic nicht einfach blockieren, und selbst wenn Sicherheitsteams den Datenverkehr entschlüsseln, wirkt alles vollkommen normal. Christiaan Beek, Cyber-Intelligence-Chef bei Rapid7, warnt: “Sie nutzen unsere Firewalls gegen uns.”
Die Raffinesse geht noch weiter. BPFdoor sucht speziell nach Triggerworten an einem exakten Byteoffset (26 Byte) innerhalb der eingehenden Anfrage. Dies macht das Schadprogramm extrem schwer zu erkennen, da nur Anfragen mit der korrekten Struktur das Programm aktivieren.
Besonders bemerkenswert ist die Art, wie Red Menshen mehrere infizierte Server in einem Netzwerk koordiniert. Statt direkter Command-and-Control-Verbindungen zu nutzen – was laut und erkennbar wäre – verwenden die Hacker das Internet Control Message Protocol (ICMP). Einfache Ping-Pakete dienen als Kommunikationskanal zwischen infizierten Systemen. Mit einem speziellen Wert (0xFFFFFFFF) können Angreifer gezielt befehlen, welcher infizierte Computer eine Aktion ausführen soll. Beek vergleicht dies mit einem Szenario, in dem ein Befehl in der Küche ankommt, der eigentlich für das Wohnzimmer bestimmt ist – das System weiß, an welchem Punkt die Nachricht stoppen und das Ziel-Gerät aktiv werden soll.
Die Anpassung an spezifische Zielumgebungen zeigt das Meisterstück dieser Operation. Red Menshen weiß, dass europäische und asiatische Telekommunikationsanbieter häufig HPE-ProLiant-Server verwenden und verstärkt auf Kubernetes für 5G-Netze setzen. BPFdoor tarnt sich deshalb mit legitimalen Service-Namen und Prozessverhalten dieser Systeme.
Rapid7-Forscher haben Opfer in Asien, Europa, dem Nahen Osten und Afrika identifiziert. Das Schadprogramm attackiert nicht mehr nur Telcos, sondern auch Regierungs- und Verteidigungsnetze. Für deutsche Telekommunikationsunternehmen und kritische Infrastruktur stellt BPFdoor eine erhebliche Bedrohung dar – umso problematisch, da viele Organisationen über die Existenz dieser Malware noch nicht einmal informiert sind.
Experten empfehlen statt passiver Abwehr aktives Threat-Hunting: Die regelmäßige, gezielte Suche nach Kompromittierungsindikatoren in den eigenen Netzen. Ohne diesen proaktiven Ansatz bleibt BPFdoor unsichtbar.