BPFDoor

Οι ερευνητές κυβερνοασφάλειας ανακάλυψαν μια δεύτερη, επιβλαβή απειλή, την εκμετάλλευση του φίλτρου πακέτων Berkeley (BPF) σε συστήματα Linux. Παρακολούθηση ως BPFDoor, το κακόβουλο λογισμικό θα μπορούσε ενδεχομένως να βρεθεί σε χιλιάδες συσκευές Linux, αλλά το πιο σημαντικό, ο ελεγκτής του κατάφερε να παραμείνει απαρατήρητος για χρόνια. Οι παράγοντες της απειλής ήταν σε θέση να εκτελέσουν δραστηριότητες επιτήρησης και κατασκοπείας στα παραβιασμένα συστήματα.

Το BPF έχει σχεδιαστεί για να διευκολύνει την ανίχνευση πακέτων υψηλής απόδοσης, καθώς και την ανάλυση δικτύου. Ωστόσο, η λειτουργικότητά του επεκτάθηκε ακόμη περισσότερο με το eBPF (εκτεταμένο BPF) που επιτρέπει την εκτέλεση κώδικα σε πλαίσιο sandbox εντός του πυρήνα του λειτουργικού συστήματος του συστήματος. Οι φορείς απειλών έχουν συνειδητοποιήσει πόσο χρήσιμο μπορεί να είναι ένα τέτοιο εργαλείο για τον εντοπισμό, τη σύνδεση κλήσεων συστήματος, τον εντοπισμό σφαλμάτων, τη σύλληψη και φιλτράρισμα πακέτων, τα όργανα και άλλα.

Το BPFDoor, ειδικότερα, είναι ικανό να καθιερώσει πρόσβαση σε κερκόπορτα στα μηχανήματα που έχουν παραβιαστεί και να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα. Ωστόσο. Αυτό που παρατήρησαν οι ειδικοί στον τομέα της κυβερνοασφάλειας είναι η ικανότητα της απειλής να εκτελεί τις επιβλαβείς λειτουργίες της χωρίς να ανοίγει νέες θύρες δικτύου ή κανόνες τείχους προστασίας. Σύμφωνα με τον ερευνητή ασφαλείας Kevin Beaumont που ανέλυσε το BPFDoor, η απειλή μπορεί να ακούσει και να αντιδράσει σε υπάρχουσες θύρες, δεν ανοίγει καμία θύρα εισερχόμενου δικτύου, δεν περιλαμβάνει εξερχόμενο C2 και μπορεί να μετονομάσει τις δικές της διεργασίες στο Linux. Οι ερευνητές κυβερνοασφάλειας που παρακολουθούσαν το BPFDoor για λίγο δηλώνουν ότι απέδωσαν το κακόβουλο λογισμικό σε έναν κινεζικό παράγοντα απειλών που παρακολουθείται ως Red Menshen.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...