BPFDoor

Cybersecurity-onderzoekers hebben een tweede, schadelijke dreiging ontdekt, waarbij ze gebruikmaken van het Berkeley Packet Filter (BPF) op Linux-systemen. Bijgehouden als BPFDoor, zou de malware mogelijk op duizenden Linux-apparaten kunnen worden gevonden, maar wat nog belangrijker is, de controller is erin geslaagd jarenlang onopgemerkt te blijven. De dreigingsactoren waren in staat om surveillance- en spionageactiviteiten uit te voeren op de gecompromitteerde systemen.

BPF is ontworpen om hoogwaardige pakkettracering en netwerkanalyse mogelijk te maken. De functionaliteit werd echter nog verder uitgebreid met eBPF (extended BPF), waardoor de uitvoering van code in de besturingssysteemkernel van het systeem in een sandbox kan worden uitgevoerd. Bedreigingsactoren hebben zich gerealiseerd hoe nuttig zo'n tool kan zijn voor het traceren, het koppelen van systeemaanroepen, debugging, het vastleggen en filteren van pakketten, instrumentatie en meer.

De BPFDoor, in het bijzonder, is in staat om achterdeurtoegang tot de geschonden machines tot stand te brengen en de uitvoering van code op afstand mogelijk te maken. Echter. wat de cyberbeveiligingsexperts opmerkten, is het vermogen van de dreiging om zijn schadelijke functies uit te voeren zonder nieuwe netwerkpoorten of firewallregels te openen. Volgens beveiligingsonderzoeker Kevin Beaumont die BPFDoor analyseerde, kan de dreiging luisteren naar en reageren op bestaande poorten, geen inkomende netwerkpoorten openen, geen uitgaande C2 gebruiken en zijn eigen processen in Linux hernoemen. De cybersecurity-onderzoekers die BPFDoor al een tijdje volgen, stellen dat ze de malware hebben toegeschreven aan een aan China gelinkte bedreigingsacteur die wordt gevolgd als Red Menshen.