BPFDoor

Siber güvenlik araştırmacıları, Linux sistemlerinde Berkeley Paket Filtresinden (BPF) yararlanan ikinci bir zararlı tehdidi ortaya çıkardı. BPFDoor olarak izlenen kötü amaçlı yazılım, potansiyel olarak binlerce Linux cihazında bulunabilir, ancak daha da önemlisi, denetleyicisi yıllarca tespit edilmeden kalmayı başardı. Tehdit aktörleri, güvenliği ihlal edilen sistemler üzerinde gözetleme ve casusluk faaliyetleri gerçekleştirebildi.

BPF, ağ analizinin yanı sıra yüksek performanslı paket izlemeyi kolaylaştırmak için tasarlanmıştır. Ancak, sistemin işletim sistemi çekirdeği içinde korumalı alanda kod yürütülmesine izin veren eBPF (genişletilmiş BPF) ile işlevselliği daha da genişletildi. Tehdit aktörleri, böyle bir aracın izleme, sistem çağrılarını bağlama, hata ayıklama, paket yakalama ve filtreleme, enstrümantasyon ve daha fazlası için ne kadar yararlı olabileceğini fark ettiler.

BPFDoor, özellikle, ihlal edilen makinelere arka kapı erişimi kurma ve kodun uzaktan yürütülmesine izin verme yeteneğine sahiptir. Yine de. siber güvenlik uzmanlarının belirttiği şey, tehdidin yeni ağ bağlantı noktaları veya güvenlik duvarı kuralları açmadan zararlı işlevlerini yerine getirme yeteneğidir. BPFDoor'u analiz eden güvenlik araştırmacısı Kevin Beaumont'a göre, tehdit mevcut bağlantı noktalarını dinleyebilir ve bunlara tepki verebilir, gelen ağ bağlantı noktalarını açmaz, giden bir C2 içermez ve Linux'ta kendi süreçlerini yeniden adlandırabilir. BPFDoor'u bir süredir takip eden siber güvenlik araştırmacıları, kötü amaçlı yazılımı Red Menshen olarak izlenen Çin bağlantılı bir tehdit aktörüne bağladıklarını belirtiyor.