BPFDoor

Cercetătorii în domeniul securității cibernetice au descoperit o a doua amenințare dăunătoare, exploatând filtrul de pachete Berkeley (BPF) pe sistemele Linux. Urmărit ca BPFDoor, malware-ul ar putea fi găsit pe mii de dispozitive Linux, dar, mai important, controlerul său a reușit să rămână nedetectat de ani de zile. Actorii amenințărilor au putut desfășura activități de supraveghere și spionaj asupra sistemelor compromise.

BPF este conceput pentru a facilita urmărirea de înaltă performanță a pachetelor, precum și analiza rețelei. Cu toate acestea, funcționalitatea sa a fost extinsă și mai mult cu eBPF (BPF extins) permițând executarea codului în sandbox în nucleul sistemului de operare al sistemului. Actorii amenințărilor și-au dat seama cât de util poate fi un astfel de instrument pentru urmărirea, conectarea apelurilor de sistem, depanare, capturarea și filtrarea pachetelor, instrumentare și multe altele.

BPFDoor, în special, este capabil să stabilească un acces backdoor la mașinile încălcate și să permită executarea de la distanță a codului. In orice caz. Ceea ce au observat experții în securitate cibernetică este capacitatea amenințării de a-și îndeplini funcțiile dăunătoare fără a deschide noi porturi de rețea sau reguli de firewall. Potrivit cercetătorului de securitate Kevin Beaumont, care a analizat BPFDoor, amenințarea poate asculta și reacționa la porturile existente, nu deschide niciun port de rețea de intrare, nu implică un C2 de ieșire și își poate redenumi propriile procese în Linux. Cercetătorii în securitate cibernetică care urmăresc BPFDoor de ceva timp afirmă că au atribuit malware-ul unui actor de amenințări legat de China, urmărit ca Red Menshen.