BPFDoor

Cybersikkerhetsforskere har avdekket en andre, skadelig trussel, ved å utnytte Berkeley Packet Filter (BPF) på Linux-systemer. Sporet som BPFDoor, kan skadelig programvare potensielt finnes på tusenvis av Linux-enheter, men enda viktigere, kontrolleren har klart å forbli uoppdaget i årevis. Trusselaktørene var i stand til å utføre overvåkings- og spionasjeaktiviteter på de kompromitterte systemene.

BPF er designet for å lette pakkesporing med høy ytelse, samt nettverksanalyse. Funksjonaliteten ble imidlertid utvidet ytterligere med eBPF (utvidet BPF) som tillater sandkasseutførelse av kode i systemets OS-kjerne. Trusselaktører har innsett hvor nyttig et slikt verktøy kan være for sporing, hooking systemanrop, feilsøking, pakkefangst og -filtrering, instrumentering og mer.

Spesielt BPFDoor er i stand til å etablere bakdørstilgang til de brutte maskinene og tillate ekstern utførelse av kode. Derimot. det cybersikkerhetsekspertene bemerket er trusselens evne til å utføre sine skadelige funksjoner uten å åpne nye nettverksporter eller brannmurregler. I følge sikkerhetsforskeren Kevin Beaumont som analyserte BPFDoor, kan trusselen lytte og reagere på eksisterende porter, åpner ingen inngående nettverksporter, involverer ikke en utgående C2 og kan gi nytt navn til sine egne prosesser i Linux. Nettsikkerhetsforskerne som har sporet BPFDoor en stund oppgir at de har tilskrevet skadelig programvare til en kinesisk-tilknyttet trusselaktør sporet som Red Menshen.