BPFDoor

Penyelidik keselamatan siber telah menemui ancaman kedua yang berbahaya, mengeksploitasi Penapis Paket Berkeley (BPF) pada sistem Linux. Dijejaki sebagai BPFDoor, perisian hasad berpotensi ditemui pada beribu-ribu peranti Linux, tetapi yang lebih penting, pengawalnya telah berjaya kekal tidak dapat dikesan selama bertahun-tahun. Aktor ancaman dapat melakukan aktiviti pengawasan dan pengintipan ke atas sistem yang terjejas.

BPF direka untuk memudahkan pengesanan paket berprestasi tinggi, serta analisis rangkaian. Walau bagaimanapun, fungsinya semakin berkembang dengan eBPF (BPF lanjutan) yang membenarkan pelaksanaan kod kotak pasir dalam kernel OS sistem. Aktor ancaman telah menyedari betapa berguna alat sedemikian untuk mengesan, mengaitkan panggilan sistem, nyahpepijat, menangkap dan menapis paket, instrumentasi dan banyak lagi.

BPFDoor, khususnya, mampu mewujudkan akses pintu belakang kepada mesin yang dilanggar dan membenarkan pelaksanaan kod jauh. Namun begitu. apa yang dinyatakan oleh pakar keselamatan siber ialah keupayaan ancaman untuk melaksanakan fungsi berbahayanya tanpa membuka port rangkaian baharu atau peraturan tembok api. Menurut penyelidik keselamatan Kevin Beaumont yang menganalisis BPFDoor, ancaman itu boleh mendengar dan bertindak balas pada port sedia ada, tidak membuka sebarang port rangkaian masuk, tidak melibatkan C2 keluar dan boleh menamakan semula prosesnya sendiri dalam Linux. Penyelidik keselamatan siber yang telah menjejaki BPFDoor untuk sementara waktu menyatakan bahawa mereka telah mengaitkan perisian hasad itu kepada pelakon ancaman berkaitan China yang dikesan sebagai Red Menshen.