BPFDoor

Výskumníci v oblasti kybernetickej bezpečnosti odhalili druhú, škodlivú hrozbu, využívajúcu Berkeley Packet Filter (BPF) na systémoch Linux. Malvér, ktorý je sledovaný ako BPFDoor, by sa mohol potenciálne nachádzať na tisíckach zariadení so systémom Linux, ale čo je dôležitejšie, jeho ovládač dokázal zostať roky neodhalený. Aktéri hrozby boli schopní vykonávať sledovanie a špionážne činnosti na napadnutých systémoch.

BPF je navrhnutý tak, aby uľahčil vysokovýkonné sledovanie paketov, ako aj sieťovú analýzu. Jeho funkčnosť sa však ešte viac rozšírila pomocou eBPF (extended BPF), ktorý umožňuje vykonávanie kódu v karanténe v jadre operačného systému. Aktéri hrozieb si uvedomili, aký užitočný môže byť takýto nástroj na sledovanie, pripájanie systémových volaní, ladenie, zachytávanie a filtrovanie paketov, prístrojové vybavenie a ďalšie.

Najmä BPFDoor je schopný vytvoriť backdoor prístup k narušeným počítačom a umožňuje vzdialené spustenie kódu. Avšak. experti na kybernetickú bezpečnosť zaznamenali schopnosť hrozby vykonávať svoje škodlivé funkcie bez otvárania nových sieťových portov alebo pravidiel brány firewall. Podľa bezpečnostného výskumníka Kevina Beaumonta, ktorý analyzoval BPFDoor, môže hrozba počúvať a reagovať na existujúcich portoch, neotvára žiadne prichádzajúce sieťové porty, nezahŕňa odchádzajúce C2 a môže premenovať svoje vlastné procesy v Linuxe. Výskumníci v oblasti kybernetickej bezpečnosti, ktorí BPFDoor nejaký čas sledovali, uvádzajú, že malvér pripisovali aktérovi hrozieb spojeným s Čínou, sledovanému ako Red Menshen.