BPFDoor

Los investigadores de seguridad cibernética han descubierto una segunda amenaza dañina, explotando el filtro de paquetes de Berkeley (BPF) en sistemas Linux. Rastreado como BPFDoor, el malware podría encontrarse potencialmente en miles de dispositivos Linux, pero lo que es más importante, su controlador ha logrado permanecer sin ser detectado durante años. Los actores de amenazas pudieron realizar actividades de vigilancia y espionaje en los sistemas comprometidos.

BPF está diseñado para facilitar el seguimiento de paquetes de alto rendimiento, así como el análisis de redes. Sin embargo, su funcionalidad se expandió aún más con eBPF (BPF extendido) que permite la ejecución de código en un espacio aislado dentro del kernel del sistema operativo. Los actores de amenazas se han dado cuenta de lo útil que puede ser una herramienta de este tipo para rastrear, conectar llamadas al sistema, depurar, capturar y filtrar paquetes, instrumentación y más.

BPFDoor, en particular, es capaz de establecer un acceso de puerta trasera a las máquinas violadas y permitir la ejecución remota de código. Sin embargo. lo que notaron los expertos en ciberseguridad es la capacidad de la amenaza para realizar sus funciones dañinas sin abrir nuevos puertos de red o reglas de firewall. Según el investigador de seguridad Kevin Beaumont que analizó BPFDoor, la amenaza puede escuchar y reaccionar en los puertos existentes, no abre ningún puerto de red entrante, no involucra un C2 saliente y puede cambiar el nombre de sus propios procesos en Linux. Los investigadores de ciberseguridad que han estado rastreando BPFDoor durante un tiempo afirman que han atribuido el malware a un actor de amenazas vinculado a China rastreado como Red Menshen.