BPFDoor

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบภัยคุกคามที่สอง โดยใช้ประโยชน์จาก Berkeley Packet Filter (BPF) บนระบบ Linux ติดตามในฐานะ BPFDoor มัลแวร์อาจพบได้ในอุปกรณ์ Linux หลายพันเครื่อง แต่ที่สำคัญกว่านั้นคือตัวควบคุมนั้นสามารถตรวจไม่พบเป็นเวลาหลายปี ผู้คุกคามสามารถดำเนินกิจกรรมการสอดแนมและจารกรรมบนระบบที่ถูกบุกรุก

BPF ออกแบบมาเพื่ออำนวยความสะดวกในการติดตามแพ็กเก็ตที่มีประสิทธิภาพสูง ตลอดจนการวิเคราะห์เครือข่าย อย่างไรก็ตาม ฟังก์ชันการทำงานได้ขยายมากยิ่งขึ้นด้วย eBPF (ขยาย BPF) ทำให้สามารถเรียกใช้โค้ดในแซนด์บ็อกซ์ภายในเคอร์เนล OS ของระบบได้ ผู้คุกคามได้ตระหนักว่าเครื่องมือดังกล่าวมีประโยชน์เพียงใดสำหรับการติดตาม เชื่อมต่อการเรียกระบบ การดีบัก การดักจับและกรองแพ็กเก็ต เครื่องมือวัด และอื่นๆ

โดยเฉพาะอย่างยิ่ง BPFDoor สามารถสร้างการเข้าถึงแบ็คดอร์ไปยังเครื่องที่ถูกละเมิดและอนุญาตให้เรียกใช้โค้ดจากระยะไกลได้ อย่างไรก็ตาม. สิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ตั้งข้อสังเกตคือความสามารถของภัยคุกคามในการทำงานที่เป็นอันตรายโดยไม่ต้องเปิดพอร์ตเครือข่ายใหม่หรือกฎไฟร์วอลล์ ตามที่นักวิจัยด้านความปลอดภัย Kevin Beaumont ผู้วิเคราะห์ BPFDoor ภัยคุกคามสามารถรับฟังและตอบสนองต่อพอร์ตที่มีอยู่ ไม่เปิดพอร์ตเครือข่ายขาเข้าใดๆ ไม่เกี่ยวข้องกับ C2 ขาออก และสามารถเปลี่ยนชื่อกระบวนการของตนเองใน Linux นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ติดตาม BPFDoor มาระยะหนึ่งแล้วระบุว่าพวกเขาระบุว่ามัลแวร์นั้นเป็นภัยคุกคามที่เชื่อมโยงกับจีนซึ่งถูกติดตามในชื่อ Red Menshen