BPFDoor

Cybersicherheitsforscher haben eine zweite, schädliche Bedrohung entdeckt, die den Berkeley Packet Filter (BPF) auf Linux-Systemen ausnutzt. Die als BPFDoor verfolgte Malware könnte möglicherweise auf Tausenden von Linux-Geräten gefunden werden, aber was noch wichtiger ist, ihr Controller hat es geschafft, jahrelang unentdeckt zu bleiben. Die Bedrohungsakteure konnten Überwachungs- und Spionageaktivitäten auf den kompromittierten Systemen durchführen.

BPF wurde entwickelt, um eine leistungsstarke Paketverfolgung sowie eine Netzwerkanalyse zu ermöglichen. Seine Funktionalität wurde jedoch mit eBPF (Extended BPF) noch weiter erweitert, das die Sandbox-Ausführung von Code innerhalb des Betriebssystemkerns des Systems ermöglicht. Bedrohungsakteure haben erkannt, wie nützlich ein solches Tool für die Verfolgung, das Einhängen von Systemaufrufen, das Debuggen, das Erfassen und Filtern von Paketen, die Instrumentierung und mehr sein kann.

Insbesondere die BPFDoor ist in der Lage, einen Backdoor-Zugriff auf die angegriffenen Maschinen einzurichten und die Remote-Ausführung von Code zu ermöglichen. Was die Cybersicherheitsexperten feststellten, ist die Fähigkeit der Bedrohung, ihre schädlichen Funktionen auszuführen, ohne neue Netzwerkports oder Firewall-Regeln zu öffnen. Laut dem Sicherheitsforscher Kevin Beaumont, der BPFDoor analysiert hat, kann die Bedrohung vorhandene Ports abhören und darauf reagieren, öffnet keine eingehenden Netzwerkports, bezieht kein ausgehendes C2 mit ein und kann ihre eigenen Prozesse in Linux umbenennen. Die Cybersicherheitsforscher, die BPFDoor seit einiger Zeit verfolgen, geben an, dass sie die Malware einem mit China verbundenen Bedrohungsakteur zugeschrieben haben, der als Red Menshen verfolgt wird.