BPFDoor

Kiberdrošības pētnieki ir atklājuši otru, kaitīgu draudu, Linux sistēmās izmantojot Berkeley pakešu filtru (BPF). Ļaunprātīgā programmatūra, kas tiek izsekota kā BPFDoor, potenciāli varētu būt atrodama tūkstošiem Linux ierīču, taču vēl svarīgāk ir tas, ka tās kontrolieris gadiem ilgi ir spējis palikt neatklāts. Apdraudējuma dalībnieki varēja veikt novērošanas un spiegošanas darbības apdraudētajās sistēmās.

BPF ir paredzēts, lai atvieglotu augstas veiktspējas pakešu izsekošanu, kā arī tīkla analīzi. Tomēr tā funkcionalitāte tika vēl vairāk paplašināta, izmantojot eBPF (paplašināto BPF), kas ļauj smilškastes veidā izpildīt kodu sistēmas OS kodolā. Draudu dalībnieki ir sapratuši, cik noderīgs šāds rīks var būt izsekošanas, sistēmas zvanu piesaistīšanas, atkļūdošanas, pakešu tveršanas un filtrēšanas, instrumentu un citu darbību veikšanai.

Jo īpaši BPFDoor spēj izveidot aizmugures piekļuvi uzlauztajām iekārtām un ļaut attālināti izpildīt kodu. Tomēr. kiberdrošības eksperti atzīmēja draudu spēju veikt savas kaitīgās funkcijas, neatverot jaunus tīkla portus vai ugunsmūra noteikumus. Saskaņā ar drošības pētnieka Kevina Bomonta teikto, kurš analizēja BPFDoor, draudi var klausīties un reaģēt uz esošajiem portiem, neatver ienākošos tīkla portus, neietver izejošo C2 un var pārdēvēt savus procesus operētājsistēmā Linux. Kiberdrošības pētnieki, kuri kādu laiku ir izsekojuši BPFDoor, norāda, ka viņi ir attiecinājuši ļaunprogrammatūru ar Ķīnu saistītu draudu dalībnieku, kurš izsekots kā Red Menshen.

Tendences

Visvairāk skatīts

Notiek ielāde...