BPFDoor

Istraživači kibernetičke sigurnosti otkrili su drugu, štetnu prijetnju, iskorištavajući Berkeley Packet Filter (BPF) na Linux sustavima. Praćen kao BPFDoor, zlonamjerni softver potencijalno bi se mogao pronaći na tisućama Linux uređaja, ali što je još važnije, njegov kontroler godinama je uspio ostati neotkriven. Akteri prijetnji mogli su obavljati aktivnosti nadzora i špijunaže na ugroženim sustavima.

BPF je dizajniran da olakša praćenje paketa visokih performansi, kao i analizu mreže. Međutim, njegova se funkcionalnost još više proširila s eBPF-om (prošireni BPF) koji dopušta izvršavanje koda u zaštićenom okruženju unutar jezgre OS-a sustava. Akteri prijetnji shvatili su koliko takav alat može biti koristan za praćenje, spajanje sistemskih poziva, otklanjanje pogrešaka, hvatanje i filtriranje paketa, instrumentaciju i još mnogo toga.

BPFDoor, posebice, može uspostaviti backdoor pristup probijenim strojevima i omogućiti daljinsko izvršavanje koda. Međutim. ono što su stručnjaci za kibernetičku sigurnost primijetili jest sposobnost prijetnje da obavlja svoje štetne funkcije bez otvaranja novih mrežnih portova ili pravila vatrozida. Prema istraživaču sigurnosti Kevin Beaumont koji je analizirao BPFDoor, prijetnja može slušati i reagirati na postojeće portove, ne otvara ulazne mrežne portove, ne uključuje izlazni C2 i može preimenovati vlastite procese u Linuxu. Istraživači kibernetičke sigurnosti koji već neko vrijeme prate BPFDoor navode da su zlonamjerni softver pripisali akteru prijetnji povezanom s kineskom praćenom kao Red Menshen.