BPFDoor
חוקרי אבטחת סייבר חשפו איום שני, מזיק, תוך ניצול מסנן מנות ברקלי (BPF) במערכות לינוקס. במעקב כ-BPFDoor, התוכנה הזדונית עשויה להימצא באלפי מכשירי לינוקס, אך חשוב מכך, הבקר שלה הצליח להישאר בלתי מזוהה במשך שנים. שחקני האיום הצליחו לבצע פעולות מעקב וריגול על המערכות שנפגעו.
BPF נועד להקל על מעקב אחר מנות בעל ביצועים גבוהים, כמו גם ניתוח רשת. עם זאת, הפונקציונליות שלו הורחבה עוד יותר עם eBPF (BPF מורחב) המאפשר ביצוע בארגז חול של קוד בתוך ליבת מערכת ההפעלה של המערכת. שחקני איומים הבינו עד כמה כלי כזה יכול להיות שימושי עבור מעקב, חיבור לשיחות מערכת, איתור באגים, לכידת מנות וסינון, מכשור ועוד.
ה-BPFDoor, בפרט, מסוגל ליצור גישה בדלת אחורית למכונות שנפרצו ולאפשר ביצוע מרחוק של קוד. למרות זאת. מה שמומחי אבטחת הסייבר ציינו הוא יכולתו של האיום לבצע את הפונקציות המזיקות שלו מבלי לפתוח יציאות רשת חדשות או חוקי חומת אש. לפי חוקר האבטחה קווין ביומונט שניתח את BPFDoor, האיום יכול להקשיב ולהגיב על יציאות קיימות, לא פותח שום יציאות רשת נכנסות, לא כולל C2 יוצא ויכול לשנות את שם התהליכים שלו בלינוקס. חוקרי אבטחת הסייבר שעוקבים אחרי BPFDoor מזה זמן מה מצהירים כי הם ייחסו את התוכנה הזדונית לשחקן איום מקושר לסין, שאחריו הוא רד מנשן.
