BPFDoor

Исследователи кибербезопасности обнаружили вторую, опасную угрозу, использующую пакетный фильтр Беркли (BPF) в системах Linux. Вредоносное ПО, отслеживаемое как BPFDoor, потенциально может быть обнаружено на тысячах устройств Linux, но, что более важно, его контроллер остается незамеченным в течение многих лет. Злоумышленники смогли осуществлять наблюдение и шпионаж за скомпрометированными системами.

BPF предназначен для облегчения высокопроизводительной трассировки пакетов, а также анализа сети. Однако его функциональность была еще больше расширена за счет eBPF (расширенный BPF), позволяющего запускать код в изолированной программной среде в ядре ОС системы. Злоумышленники осознали, насколько полезным может быть такой инструмент для отслеживания, перехвата системных вызовов, отладки, захвата и фильтрации пакетов, инструментовки и многого другого.

BPFDoor, в частности, способен установить бэкдор-доступ к взломанным машинам и разрешить удаленное выполнение кода. Однако. Эксперты по кибербезопасности отметили способность угрозы выполнять свои вредоносные функции без открытия новых сетевых портов или правил брандмауэра. По словам исследователя безопасности Кевина Бомонта, проанализировавшего BPFDoor, угроза может прослушивать существующие порты и реагировать на них, не открывает входящие сетевые порты, не задействует исходящий C2 и может переименовывать собственные процессы в Linux. Исследователи кибербезопасности, которые некоторое время отслеживали BPFDoor, заявляют, что они приписывают вредоносное ПО связанному с Китаем злоумышленнику, которого отслеживают как Red Menshen.