BPFDoor

Badacze cyberbezpieczeństwa odkryli drugie, szkodliwe zagrożenie, wykorzystujące filtr pakietów Berkeley (BPF) w systemach Linux. Śledzone jako BPFDoor złośliwe oprogramowanie może potencjalnie znaleźć się na tysiącach urządzeń z systemem Linux, ale co ważniejsze, jego kontroler przez lata pozostawał niewykryty. Przestępcy byli w stanie prowadzić działania inwigilacyjne i szpiegowskie na zaatakowanych systemach.

BPF został zaprojektowany w celu ułatwienia wysokowydajnego śledzenia pakietów, a także analizy sieci. Jednak jego funkcjonalność została jeszcze bardziej rozszerzona dzięki eBPF (rozszerzony BPF), który umożliwia wykonanie kodu w piaskownicy w jądrze systemu operacyjnego. Podmioty zajmujące się zagrożeniami zdały sobie sprawę, jak przydatne może być takie narzędzie do śledzenia, przechwytywania wywołań systemowych, debugowania, przechwytywania i filtrowania pakietów, instrumentacji i nie tylko.

W szczególności BPFDoor jest w stanie ustanowić dostęp backdoorem do naruszonych maszyn i umożliwić zdalne wykonanie kodu. Jednakże. Eksperci ds. cyberbezpieczeństwa zauważyli, że zagrożenie może wykonywać swoje szkodliwe funkcje bez otwierania nowych portów sieciowych lub reguł zapory. Według badacza bezpieczeństwa Kevina Beaumonta, który przeanalizował BPFDoor, zagrożenie może nasłuchiwać i reagować na istniejących portach, nie otwiera żadnych przychodzących portów sieciowych, nie obejmuje wychodzącego C2 i może zmieniać nazwy własnych procesów w systemie Linux. Badacze cyberbezpieczeństwa, którzy od jakiegoś czasu śledzą BPFDoor, twierdzą, że przypisali złośliwe oprogramowanie powiązanemu z Chinami cyberprzestępcy, śledzonemu jako Red Menshen.