BPFDoor

Дослідники кібербезпеки виявили другу шкідливу загрозу, яка використовує фільтр пакетів Берклі (BPF) в системах Linux. Зловмисне програмне забезпечення, яке відстежується як BPFDoor, потенційно може бути знайдене на тисячах пристроїв Linux, але, що ще важливіше, його контролер роками вдається залишатися непоміченим. Зловмисники мали змогу здійснювати спостереження та шпигунську діяльність за скомпрометованими системами.

BPF розроблено для полегшення високопродуктивного відстеження пакетів, а також аналізу мережі. Однак його функціональність була ще більше розширена завдяки eBPF (розширений BPF), що дозволяє виконувати код у пісочниці в ядрі ОС системи. Зловмисники загрози зрозуміли, наскільки корисним такий інструмент може бути для відстеження, підключення системних викликів, налагодження, захоплення та фільтрації пакетів, інструментування тощо.

BPFDoor, зокрема, здатний встановлювати бекдор-доступ до зламаних машин і дозволяти віддалено виконувати код. Однак. Експерти з кібербезпеки відзначили здатність загрози виконувати свої шкідливі функції без відкриття нових мережевих портів або правил брандмауера. За словами дослідника безпеки Кевіна Бомонта, який аналізував BPFDoor, загроза може слухати й реагувати на існуючі порти, не відкриває жодних вхідних мережевих портів, не включає вихідний C2 і може перейменовувати власні процеси в Linux. Дослідники кібербезпеки, які деякий час відстежували BPFDoor, стверджують, що вони приписують зловмисне програмне забезпечення пов’язаному з Китаєм загрозі, яку відстежують як Red Menshen.