BPFDoor

Kibernetinio saugumo tyrinėtojai atskleidė antrą, žalingą grėsmę, išnaudodami Berkeley paketų filtrą (BPF) Linux sistemose. Kenkėjiška programinė įranga, pažymėta kaip BPFDoor, gali būti aptikta tūkstančiuose „Linux“ įrenginių, bet dar svarbiau, kad jos valdiklis daugelį metų sugebėjo likti nepastebėtas. Pavojingi veikėjai galėjo stebėti ir šnipinėti pažeistose sistemose.

BPF sukurtas palengvinti didelio našumo paketų sekimą, taip pat tinklo analizę. Tačiau jo funkcionalumas buvo dar labiau išplėstas naudojant eBPF (išplėstinį BPF), leidžiantį smėlio dėžėje vykdyti kodą sistemos OS branduolyje. Grėsmių veikėjai suprato, koks naudingas toks įrankis gali būti sekimui, sistemos skambučių užkabinimui, derinimui, paketų fiksavimui ir filtravimui, prietaisams ir kt.

Visų pirma BPFDoor gali sukurti užpakalinių durų prieigą prie pažeistų mašinų ir leisti nuotoliniu būdu vykdyti kodą. Tačiau. Kibernetinio saugumo ekspertai pažymėjo, kad grėsmė gali atlikti savo žalingas funkcijas neatidarant naujų tinklo prievadų ar ugniasienės taisyklių. Pasak saugumo tyrinėtojo Kevino Beaumonto, išanalizavusio BPFDoor, grėsmė gali klausytis ir reaguoti į esamus prievadus, neatidaro jokių įeinančių tinklo prievadų, neapima išeinančio C2 ir gali pervardyti savo procesus Linux sistemoje. Kibernetinio saugumo tyrėjai, kurį laiką sekę „BPFDoor“, teigia, kad kenkėjišką programą jie priskyrė su Kinija susijusiam grėsmės veikėjui, sektam kaip Red Menshen.