BPFDoor

محققان امنیت سایبری دومین تهدید مضر را کشف کرده اند که از فیلتر بسته برکلی (BPF) در سیستم های لینوکس استفاده می کند. این بدافزار که به عنوان BPFDoor ردیابی می شود، به طور بالقوه می تواند در هزاران دستگاه لینوکس پیدا شود، اما مهمتر از آن، کنترل کننده آن موفق شده است برای سال ها ناشناخته بماند. عوامل تهدید قادر به انجام فعالیت های جاسوسی و جاسوسی بر روی سیستم های در معرض خطر بودند.

BPF برای تسهیل ردیابی بسته با کارایی بالا و همچنین تجزیه و تحلیل شبکه طراحی شده است. با این حال، عملکرد آن با eBPF (BPF توسعه یافته) که امکان اجرای جعبه‌شناختی کد را در هسته سیستم‌عامل سیستم فراهم می‌کرد، حتی بیشتر گسترش یافت. عوامل تهدید متوجه شده اند که چنین ابزاری چقدر می تواند برای ردیابی، قلاب کردن تماس های سیستمی، اشکال زدایی، ضبط و فیلتر کردن بسته ها، ابزار دقیق و موارد دیگر مفید باشد.

BPFDoor، به طور خاص، قادر به ایجاد دسترسی درب پشتی به ماشین های شکسته شده و امکان اجرای کد از راه دور است. با این حال. آنچه کارشناسان امنیت سایبری به آن اشاره کردند، توانایی تهدید برای انجام عملکردهای مضر خود بدون باز کردن پورت های جدید شبکه یا قوانین فایروال است. به گفته محقق امنیتی کوین بومونت که BPFDoor را تجزیه و تحلیل کرد، این تهدید می‌تواند به پورت‌های موجود گوش داده و واکنش نشان دهد، هیچ پورت شبکه ورودی را باز نمی‌کند، C2 خروجی را شامل نمی‌شود و می‌تواند فرآیندهای خود را در لینوکس تغییر نام دهد. محققان امنیت سایبری که مدتی است BPFDoor را ردیابی کرده‌اند، اظهار می‌کنند که این بدافزار را به یک عامل تهدید مرتبط با چین که به‌عنوان Red Menshen ردیابی می‌شود، نسبت داده‌اند.