BPFDoor

A kiberbiztonsági kutatók egy második, káros fenyegetést fedeztek fel, a Berkeley Packet Filter (BPF) kihasználásával Linux rendszereken. A BPFDoor néven nyomon követett rosszindulatú program több ezer Linux-eszközön megtalálható, de ami még fontosabb, a vezérlője évek óta észrevétlen maradt. A fenyegetés szereplői megfigyelési és kémkedési tevékenységeket hajthattak végre a feltört rendszereken.

A BPF-et úgy tervezték, hogy megkönnyítse a nagy teljesítményű csomagkövetést, valamint a hálózati elemzést. Funkcionalitása azonban még tovább bővült az eBPF-vel (extended BPF), amely lehetővé tette a kód sandbox-futtatását a rendszer operációs rendszermagjában. A fenyegetés szereplői rájöttek, hogy egy ilyen eszköz milyen hasznos lehet a nyomkövetéshez, a rendszerhívásokhoz, a hibakereséshez, a csomagrögzítéshez és -szűréshez, a műszerezéshez és még sok máshoz.

A BPFDoor különösen alkalmas arra, hogy hátsó ajtón keresztül hozzáférjen a feltört gépekhez, és lehetővé tegye a kód távoli végrehajtását. Azonban. A kiberbiztonsági szakértők megjegyezték, hogy a fenyegetés képes ellátni káros funkcióit új hálózati portok vagy tűzfalszabályok megnyitása nélkül. A BPFDoor elemzője, Kevin Beaumont biztonsági kutató szerint a fenyegetés képes figyelni és reagálni a meglévő portokra, nem nyit meg semmilyen bejövő hálózati portot, nem tartalmaz kimenő C2-t, és át tudja nevezni saját folyamatait Linux alatt. A kiberbiztonsági kutatók, akik egy ideje nyomon követik a BPFDoor-t, azt állítják, hogy a rosszindulatú programot egy Kínához köthető fenyegetőszereplőnek tulajdonították, akit Red Menshenként nyomon követtek.