BPFDoor

Các nhà nghiên cứu an ninh mạng đã phát hiện ra mối đe dọa thứ hai, có hại, khai thác Bộ lọc gói Berkeley (BPF) trên các hệ thống Linux. Được theo dõi là BPFDoor, phần mềm độc hại có thể được tìm thấy trên hàng nghìn thiết bị Linux, nhưng quan trọng hơn, bộ điều khiển của nó đã cố gắng không bị phát hiện trong nhiều năm. Các tác nhân đe dọa có thể thực hiện các hoạt động giám sát và gián điệp trên các hệ thống bị xâm nhập.

BPF được thiết kế để tạo điều kiện thuận lợi cho việc theo dõi gói hiệu suất cao, cũng như phân tích mạng. Tuy nhiên, chức năng của nó còn được mở rộng hơn nữa với eBPF (BPF mở rộng) cho phép thực thi mã hộp cát trong nhân hệ điều hành của hệ thống. Các tác nhân đe dọa đã nhận ra rằng một công cụ như vậy có thể hữu ích như thế nào để theo dõi, kết nối các cuộc gọi hệ thống, gỡ lỗi, chụp và lọc gói, thiết bị đo đạc và hơn thế nữa.

Đặc biệt, BPFDoor có khả năng thiết lập quyền truy cập cửa sau vào các máy bị xâm phạm và cho phép thực thi mã từ xa. Tuy nhiên. những gì các chuyên gia an ninh mạng lưu ý là khả năng của mối đe dọa thực hiện các chức năng có hại của nó mà không cần mở các cổng mạng mới hoặc các quy tắc tường lửa. Theo nhà nghiên cứu bảo mật Kevin Beaumont, người đã phân tích BPFDoor, mối đe dọa có thể lắng nghe và phản ứng trên các cổng hiện có, không mở bất kỳ cổng mạng nào, không liên quan đến C2 gửi đi và có thể đổi tên các quy trình của chính nó trong Linux. Các nhà nghiên cứu an ninh mạng đã theo dõi BPFDoor một thời gian tuyên bố rằng họ đã gán phần mềm độc hại này cho một kẻ đe dọa có liên quan đến Trung Quốc được theo dõi là Red Menshen.