BPFDoor

Küberturvalisuse teadlased on avastanud teise, kahjuliku ohu, kasutades Linuxi süsteemides Berkeley pakettfiltrit (BPF). BPFDoorina jälgitav pahavara võib potentsiaalselt leida tuhandetes Linuxi seadmetes, kuid mis veelgi olulisem, selle kontroller on suutnud aastaid avastamata jääda. Ohutegurid suutsid teostada ohustatud süsteemide jälgimist ja spionaaži.

BPF on loodud suure jõudlusega pakettide jälgimise ja võrguanalüüsi hõlbustamiseks. Kuid selle funktsionaalsust laiendati veelgi eBPF-iga (laiendatud BPF), mis võimaldab süsteemi OS-i tuumas koodi liivakastis käivitada. Ohutegijad on mõistnud, kui kasulik selline tööriist võib olla jälgimiseks, süsteemikõnede sidumiseks, silumiseks, pakettide hõivamiseks ja filtreerimiseks, mõõteriistadeks ja muuks.

Eelkõige on BPFDoor võimeline looma tagaukse kaudu juurdepääsu rikutud masinatele ja võimaldama koodi kaugkäivitamist. Kuid. Küberturvalisuse eksperdid märkisid, et oht suudab täita oma kahjulikke funktsioone ilma uusi võrguporte või tulemüürireegleid avamata. BPFDoori analüüsinud turbeteadlase Kevin Beaumonti sõnul suudab oht olemasolevaid porte kuulata ja neile reageerida, ei ava ühtki sissetulevat võrguporti, ei hõlma väljaminevat C2 ja saab Linuxis oma protsesse ümber nimetada. Küberjulgeolekuteadlased, kes on mõnda aega BPFDoori jälginud, väidavad, et on omistanud pahavara Hiinaga seotud ohutegijale, keda jälgitakse nime all Red Menshen.