BPFDoor

Истраживачи сајбер безбедности открили су другу, штетну претњу, искоришћавајући Беркли пакетни филтер (БПФ) на Линук системима. Праћен као БПФДоор, малвер би се потенцијално могао наћи на хиљадама Линук уређаја, али што је још важније, његов контролер је годинама успевао да остане неоткривен. Актери претњи су били у могућности да обављају активности надзора и шпијунаже на компромитованим системима.

БПФ је дизајниран да олакша праћење пакета високих перформанси, као и анализу мреже. Међутим, његова функционалност је још више проширена са еБПФ-ом (проширени БПФ) који омогућава извршавање кода у заштићеном окружењу унутар језгра ОС система. Актери претњи су схватили колико такав алат може бити користан за праћење, повезивање системских позива, отклањање грешака, хватање и филтрирање пакета, инструментацију и још много тога.

БПФДоор, посебно, може да успостави бацкдоор приступ пробијеним машинама и омогући даљинско извршавање кода. Међутим. оно што су стручњаци за сајбер безбедност приметили је способност претње да обавља своје штетне функције без отварања нових мрежних портова или правила заштитног зида. Према истраживачу безбедности Кевину Беаумонту који је анализирао БПФДоор, претња може да слуша и реагује на постојеће портове, не отвара ниједан улазни мрежни порт, не укључује излазни Ц2 и може да преименује сопствене процесе у Линук-у. Истраживачи сајбер-безбедности који већ неко време прате БПФДоор наводе да су приписали малвер претњи повезаном с Кинезом, праћеном као Ред Менсхен.