BPFDoor

I ricercatori della sicurezza informatica hanno scoperto una seconda minaccia dannosa, sfruttando il Berkeley Packet Filter (BPF) sui sistemi Linux. Tracciato come BPFDoor, il malware potrebbe essere potenzialmente trovato su migliaia di dispositivi Linux, ma soprattutto, il suo controller è riuscito a non essere rilevato per anni. Gli attori delle minacce sono stati in grado di svolgere attività di sorveglianza e spionaggio sui sistemi compromessi.

BPF è progettato per facilitare il tracciamento dei pacchetti ad alte prestazioni, nonché l'analisi della rete. Tuttavia, la sua funzionalità è stata ulteriormente ampliata con eBPF (extended BPF) che consente l'esecuzione in modalità sandbox del codice all'interno del kernel del sistema operativo del sistema. Gli attori delle minacce si sono resi conto dell'utilità di uno strumento del genere per il tracciamento, l'aggancio delle chiamate di sistema, il debug, l'acquisizione e il filtraggio dei pacchetti, la strumentazione e altro ancora.

La BPFDoor, in particolare, è in grado di stabilire l'accesso backdoor alle macchine violate e di consentire l'esecuzione da remoto del codice. Tuttavia. ciò che gli esperti di sicurezza informatica hanno notato è la capacità della minaccia di svolgere le sue funzioni dannose senza aprire nuove porte di rete o regole del firewall. Secondo il ricercatore di sicurezza Kevin Beaumont che ha analizzato BPFDoor, la minaccia può ascoltare e reagire sulle porte esistenti, non apre porte di rete in entrata, non coinvolge un C2 in uscita e può rinominare i propri processi in Linux. I ricercatori di sicurezza informatica che monitorano da tempo BPFDoor affermano di aver attribuito il malware a un attore di minacce collegato alla Cina, identificato come Red Menshen.