BPFDoor

Cybersäkerhetsforskare har avslöjat ett andra, skadligt hot, genom att utnyttja Berkeley Packet Filter (BPF) på Linux-system. Spårad som BPFDoor, kan skadlig programvara potentiellt hittas på tusentals Linux-enheter, men ännu viktigare, dess kontroller har lyckats förbli oupptäckt i flera år. Hotaktörerna kunde utföra övervaknings- och spionageaktiviteter på de komprometterade systemen.

BPF är utformad för att underlätta högpresterande paketspårning, såväl som nätverksanalys. Dess funktionalitet utökades dock ytterligare med eBPF (extended BPF) som möjliggör sandlådekörning av kod i systemets OS-kärna. Hotaktörer har insett hur användbart ett sådant verktyg kan vara för spårning, hooking systemanrop, felsökning, paketfångning och filtrering, instrumentering och mer.

BPFDoor, i synnerhet, är kapabel att etablera bakdörrsåtkomst till de brutna maskinerna och tillåta fjärrexekvering av kod. Dock. vad cybersäkerhetsexperterna noterade är hotets förmåga att utföra sina skadliga funktioner utan att öppna nya nätverksportar eller brandväggsregler. Enligt säkerhetsforskaren Kevin Beaumont som analyserade BPFDoor kan hotet lyssna och reagera på befintliga portar, öppnar inga inkommande nätverksportar, involverar inte en utgående C2 och kan byta namn på sina egna processer i Linux. De cybersäkerhetsforskare som har spårat BPFDoor ett tag uppger att de har tillskrivit skadlig programvara till en kinesisk-länkad hotaktör som spåras som Red Menshen.