BPFDoor
اكتشف باحثو الأمن السيبراني تهديدًا ضارًا ثانيًا ، باستغلال Berkeley Packet Filter (BPF) على أنظمة Linux. يمكن العثور على البرامج الضارة ، التي تم تتبعها باسم BPFDoor ، على الآلاف من أجهزة Linux ، ولكن الأهم من ذلك ، أن وحدة التحكم الخاصة بها تمكنت من البقاء غير مكتشفة لسنوات. كان الفاعلون المهددون قادرين على القيام بأنشطة المراقبة والتجسس على الأنظمة المعرضة للخطر.
تم تصميم BPF لتسهيل تتبع الحزم عالي الأداء ، فضلاً عن تحليل الشبكة. ومع ذلك ، فقد تم توسيع وظائفها بشكل أكبر مع eBPF (BPF الممتد) مما يسمح بتنفيذ وضع الحماية للكود داخل نواة نظام التشغيل الخاصة بالنظام. أدرك الفاعلون المعنيون بالتهديد مدى فائدة هذه الأداة في التتبع ، وربط مكالمات النظام ، وتصحيح الأخطاء ، والتقاط الحزم والتصفية ، والأجهزة ، والمزيد.
إن BPFDoor ، على وجه الخصوص ، قادر على إنشاء وصول خلفي إلى الأجهزة التي تم اختراقها والسماح بتنفيذ التعليمات البرمجية عن بُعد. لكن. ما لاحظه خبراء الأمن السيبراني هو قدرة التهديد على أداء وظائفه الضارة دون فتح منافذ شبكة جديدة أو قواعد جدار الحماية. وفقًا للباحث الأمني Kevin Beaumont الذي حلل BPFDoor ، يمكن للتهديد الاستماع والرد على المنافذ الحالية ، ولا يفتح أي منافذ شبكة واردة ، ولا يتضمن C2 صادرًا ويمكنه إعادة تسمية عملياته الخاصة في Linux. صرح باحثو الأمن السيبراني الذين كانوا يتتبعون BPFDoor لفترة من الوقت أنهم نسبوا البرامج الضارة إلى ممثل تهديد مرتبط بالصين تم تعقبه باسم Red Menshen.
