BPFDoor

Výzkumníci v oblasti kybernetické bezpečnosti odhalili druhou, škodlivou hrozbu, využívající Berkeley Packet Filter (BPF) na systémech Linux. Malware, sledovaný jako BPFDoor, by se mohl potenciálně nacházet na tisících linuxových zařízení, ale co je důležitější, jeho řadič dokázal zůstat roky nezjištěný. Aktéři hrozeb byli schopni provádět sledování a špionážní činnosti na kompromitovaných systémech.

BPF je navržen tak, aby usnadnil vysoce výkonné trasování paketů a také síťovou analýzu. Jeho funkčnost se však ještě dále rozšířila díky eBPF (extended BPF), který umožňuje provádění kódu v karanténě systému v jádře OS. Aktéři hrozeb si uvědomili, jak užitečný může být takový nástroj pro sledování, hákování systémových volání, ladění, zachycování a filtrování paketů, instrumentaci a další.

BPFDoor je zejména schopen zřídit zadní vrátka k narušeným strojům a umožnit vzdálené spuštění kódu. Nicméně. experti na kybernetickou bezpečnost zaznamenali schopnost hrozby vykonávat své škodlivé funkce bez otevírání nových síťových portů nebo pravidel brány firewall. Podle bezpečnostního výzkumníka Kevina Beaumonta, který analyzoval BPFDoor, může hrozba naslouchat a reagovat na existujících portech, neotevírá žádné příchozí síťové porty, nezahrnuje odchozí C2 a může přejmenovat své vlastní procesy v Linuxu. Výzkumníci v oblasti kybernetické bezpečnosti, kteří BPFDoor nějakou dobu sledovali, uvedli, že malware připisovali aktérovi hrozeb napojenému na Čínu, sledovanému jako Red Menshen.