BPFDoor

Kyberturvallisuustutkijat ovat paljastaneet toisen, haitallisen uhan, joka hyödyntää Berkeley Packet Filter (BPF) -suodatinta Linux-järjestelmissä. BPFDooriksi jäljitetty haittaohjelma saattaa löytyä tuhansista Linux-laitteista, mutta mikä tärkeämpää, sen ohjain on onnistunut pysymään havaitsematta vuosia. Uhkatoimijat pystyivät suorittamaan valvonta- ja vakoilutoimia vaarantuneissa järjestelmissä.

BPF on suunniteltu helpottamaan korkean suorituskyvyn pakettien jäljitystä sekä verkkoanalyysiä. Sen toimintoja kuitenkin laajennettiin entisestään eBPF:llä (extended BPF), joka salli koodin suorittamisen hiekkalaatikolla järjestelmän käyttöjärjestelmäytimessä. Uhkatoimijat ovat ymmärtäneet, kuinka hyödyllinen tällainen työkalu voi olla jäljittämiseen, järjestelmäkutsujen kytkemiseen, virheenkorjaukseen, pakettien sieppaamiseen ja suodattamiseen, instrumentointiin ja muuhun.

Erityisesti BPFDoor pystyy luomaan takaoven pääsyn rikottuihin koneisiin ja mahdollistamaan koodin etäsuorituksen. Kuitenkin. Kyberturvallisuusasiantuntijat totesivat uhan kyvyn suorittaa haitalliset tehtävänsä avaamatta uusia verkkoportteja tai palomuurisääntöjä. BPFDooria analysoineen tietoturvatutkijan Kevin Beaumontin mukaan uhka voi kuunnella ja reagoida olemassa oleviin portteihin, ei avaa saapuvia verkkoportteja, ei sisällä lähtevää C2:ta ja voi nimetä omat prosessinsa uudelleen Linuxissa. BPFDooria jonkin aikaa jäljittäneet kyberturvallisuustutkijat kertovat, että he ovat pitäneet haittaohjelmia Red Menshen -nimellä jäljitetyn Kiinaan linkitetyn uhkatekijän ansioksi.