BPFDoor

Els investigadors de ciberseguretat han descobert una segona amenaça perjudicial, aprofitant el filtre de paquets de Berkeley (BPF) als sistemes Linux. Rastrejat com a BPFDoor, el programari maliciós podria trobar-se en milers de dispositius Linux, però el que és més important, el seu controlador ha aconseguit no ser detectat durant anys. Els actors de l'amenaça van poder realitzar activitats de vigilància i espionatge als sistemes compromesos.

BPF està dissenyat per facilitar el seguiment de paquets d'alt rendiment, així com l'anàlisi de la xarxa. No obstant això, la seva funcionalitat es va ampliar encara més amb eBPF (BPF estès) que permetia l'execució de codi en caixa de sorra dins del nucli del sistema operatiu del sistema. Els actors de l'amenaça s'han adonat de la utilitat d'aquesta eina per rastrejar, connectar trucades al sistema, depurar, capturar i filtrar paquets, instrumentació i molt més.

El BPFDoor, en particular, és capaç d'establir un accés de porta posterior a les màquines violades i permetre l'execució remota de codi. Malgrat això. el que van assenyalar els experts en ciberseguretat és la capacitat de l'amenaça de realitzar les seves funcions nocives sense obrir nous ports de xarxa o regles de tallafoc. Segons l'investigador de seguretat Kevin Beaumont que va analitzar BPFDoor, l'amenaça pot escoltar i reaccionar als ports existents, no obre cap port de xarxa d'entrada, no implica un C2 de sortida i pot canviar el nom dels seus propis processos a Linux. Els investigadors de ciberseguretat que han estat rastrejant BPFDoor durant un temps afirmen que han atribuït el programari maliciós a un actor d'amenaces vinculat a la Xina i que es fa un seguiment com a Red Menshen.