BPFDoor

Изследователите по киберсигурност разкриха втора, вредна заплаха, използваща пакетния филтър на Berkeley (BPF) в системите на Linux. Проследен като BPFDoor, зловредният софтуер потенциално може да бъде открит на хиляди Linux устройства, но по-важното е, че неговият контролер успява да остане неоткрит от години. Заплахите са били в състояние да извършват дейности по наблюдение и шпионаж върху компрометираните системи.

BPF е проектиран да улесни високопроизводителното проследяване на пакети, както и мрежовия анализ. Въпреки това, неговата функционалност се разшири още повече с eBPF (разширен BPF), позволяващ изпълнение на код в пясъчна среда в рамките на ядрото на ОС на системата. Участниците в заплахите осъзнаха колко полезен може да бъде подобен инструмент за проследяване, свързване на системни повиквания, отстраняване на грешки, улавяне и филтриране на пакети, инструментиране и др.

BPFDoor, по-специално, е в състояние да установи бекдор достъп до пробитите машини и да позволи дистанционното изпълнение на код. Въпреки това. Това, което експертите по киберсигурност отбелязват, е способността на заплахата да изпълнява своите вредни функции, без да отваря нови мрежови портове или правила за защитна стена. Според изследователя по сигурността Кевин Бомонт, който анализира BPFDoor, заплахата може да слуша и реагира на съществуващи портове, не отваря никакви входящи мрежови портове, не включва изходящ C2 и може да преименува собствените си процеси в Linux. Изследователите по киберсигурност, които проследяват BPFDoor от известно време, заявяват, че са приписали злонамерения софтуер на свързан с Китай заплаха, проследяван като Red Menshen.