BPFDoor

Descrição do BPFDoor

Os pesquisadores de segurança cibernética descobriram uma segunda ameaça prejudicial, explorando o Berkeley Packet Filter (BPF) em sistemas Linux. Rastreado como BPFDoor, o malware pode ser encontrado em milhares de dispositivos Linux, mas o mais importante é que seu controlador conseguiu permanecer indetectado por anos. Os agentes de ameaças foram capazes de realizar atividades de vigilância e espionagem nos sistemas comprometidos.

O BPF foi projetado para facilitar o rastreamento de pacotes de alto desempenho, bem como a análise de rede. No entanto, sua funcionalidade foi expandida ainda mais com o eBPF (BPF estendido), permitindo a execução de código em área restrita dentro do kernel do sistema operacional. Os agentes de ameaças perceberam o quão útil essa ferramenta pode ser para rastreamento, captura de chamadas do sistema, depuração, captura e filtragem de pacotes, instrumentação e muito mais.

O BPFDoor, em particular, é capaz de estabelecer acesso backdoor às máquinas violadas e permitir a execução remota de código. No entanto. o que os especialistas em segurança cibernética observaram é a capacidade da ameaça de executar suas funções prejudiciais sem abrir novas portas de rede ou regras de firewall. De acordo com o pesquisador de segurança Kevin Beaumont que analisou o BPFDoor, a ameaça pode ouvir e reagir em portas existentes, não abre nenhuma porta de rede de entrada, não envolve um C2 de saída e pode renomear seus próprios processos no Linux. Os pesquisadores de segurança cibernética que rastreiam o BPFDoor há algum tempo afirmam que atribuíram o malware a um agente de ameaças vinculado à China rastreado como Red Menshen.