BPFDoor

Studiuesit e sigurisë kibernetike kanë zbuluar një kërcënim të dytë, të dëmshëm, duke shfrytëzuar Filtrin e Paketave Berkeley (BPF) në sistemet Linux. I gjurmuar si BPFDoor, malware mund të gjendet në mijëra pajisje Linux, por më e rëndësishmja, kontrolluesi i tij ka arritur të mbetet i pazbuluar për vite me rradhë. Aktorët e kërcënimit ishin në gjendje të kryenin aktivitete vëzhgimi dhe spiunazhi në sistemet e komprometuara.

BPF është krijuar për të lehtësuar gjurmimin e paketave me performancë të lartë, si dhe analizën e rrjetit. Sidoqoftë, funksionaliteti i tij u zgjerua edhe më tej me eBPF (BPF i zgjeruar) duke lejuar ekzekutimin e kodit në sandbox brenda kernelit OS të sistemit. Aktorët e kërcënimit kanë kuptuar se sa i dobishëm mund të jetë një mjet i tillë për gjurmimin, lidhjen e thirrjeve të sistemit, korrigjimin, kapjen dhe filtrimin e paketave, instrumentet dhe më shumë.

BPFDoor, në veçanti, është i aftë të krijojë akses në prapavijë në makinat e shkelura dhe të lejojë ekzekutimin në distancë të kodit. Megjithatë. ajo që vunë në dukje ekspertët e sigurisë kibernetike është aftësia e kërcënimit për të kryer funksionet e tij të dëmshme pa hapjen e porteve të reja të rrjetit ose rregullave të murit të zjarrit. Sipas studiuesit të sigurisë Kevin Beaumont i cili analizoi BPFDoor, kërcënimi mund të dëgjojë dhe të reagojë në portet ekzistuese, nuk hap asnjë portë rrjeti hyrës, nuk përfshin një C2 dalëse dhe mund të riemërtojë proceset e veta në Linux. Studiuesit e sigurisë kibernetike që kanë ndjekur BPFDoor për një kohë deklarojnë se ata ia atribuojnë malware një aktori kërcënimi të lidhur me Kinën, i gjurmuar si Red Menshen.