BPFDoor

Cybersikkerhedsforskere har afsløret en anden, skadelig trussel, ved at udnytte Berkeley Packet Filter (BPF) på Linux-systemer. Sporet som BPFDoor kan malwaren potentielt findes på tusindvis af Linux-enheder, men endnu vigtigere, det er lykkedes dens controller at forblive uopdaget i årevis. Trusselsaktørerne var i stand til at udføre overvågnings- og spionageaktiviteter på de kompromitterede systemer.

BPF er designet til at lette højtydende pakkesporing samt netværksanalyse. Dens funktionalitet blev dog udvidet yderligere med eBPF (udvidet BPF), der tillader sandkasseudførelse af kode i systemets OS-kerne. Trusselaktører har indset, hvor nyttigt et sådant værktøj kan være til sporing, hooking systemopkald, fejlfinding, pakkefangst og -filtrering, instrumentering og mere.

Især BPFDoor er i stand til at etablere bagdørsadgang til de brudte maskiner og tillade fjernudførelse af kode. Imidlertid. hvad cybersikkerhedseksperterne bemærkede, er truslens evne til at udføre sine skadelige funktioner uden at åbne nye netværksporte eller firewallregler. Ifølge sikkerhedsforskeren Kevin Beaumont, der analyserede BPFDoor, kan truslen lytte og reagere på eksisterende porte, åbner ingen indgående netværksporte, involverer ikke en udgående C2 og kan omdøbe sine egne processer i Linux. De cybersikkerhedsforskere, der har sporet BPFDoor i et stykke tid, oplyser, at de har tilskrevet malwaren til en kinesisk-linket trusselsaktør sporet som Red Menshen.