BPFDoor
محققان امنیت سایبری دومین تهدید مضر را کشف کرده اند که از فیلتر بسته برکلی (BPF) در سیستم های لینوکس استفاده می کند. این بدافزار که به عنوان BPFDoor ردیابی می شود، به طور بالقوه می تواند در هزاران دستگاه لینوکس پیدا شود، اما مهمتر از آن، کنترل کننده آن موفق شده است برای سال ها ناشناخته بماند. عوامل تهدید قادر به انجام فعالیت های جاسوسی و جاسوسی بر روی سیستم های در معرض خطر بودند.
BPF برای تسهیل ردیابی بسته با کارایی بالا و همچنین تجزیه و تحلیل شبکه طراحی شده است. با این حال، عملکرد آن با eBPF (BPF توسعه یافته) که امکان اجرای جعبهشناختی کد را در هسته سیستمعامل سیستم فراهم میکرد، حتی بیشتر گسترش یافت. عوامل تهدید متوجه شده اند که چنین ابزاری چقدر می تواند برای ردیابی، قلاب کردن تماس های سیستمی، اشکال زدایی، ضبط و فیلتر کردن بسته ها، ابزار دقیق و موارد دیگر مفید باشد.
BPFDoor، به طور خاص، قادر به ایجاد دسترسی درب پشتی به ماشین های شکسته شده و امکان اجرای کد از راه دور است. با این حال. آنچه کارشناسان امنیت سایبری به آن اشاره کردند، توانایی تهدید برای انجام عملکردهای مضر خود بدون باز کردن پورت های جدید شبکه یا قوانین فایروال است. به گفته محقق امنیتی کوین بومونت که BPFDoor را تجزیه و تحلیل کرد، این تهدید میتواند به پورتهای موجود گوش داده و واکنش نشان دهد، هیچ پورت شبکه ورودی را باز نمیکند، C2 خروجی را شامل نمیشود و میتواند فرآیندهای خود را در لینوکس تغییر نام دهد. محققان امنیت سایبری که مدتی است BPFDoor را ردیابی کردهاند، اظهار میکنند که این بدافزار را به یک عامل تهدید مرتبط با چین که بهعنوان Red Menshen ردیابی میشود، نسبت دادهاند.