BPFDoor

Les chercheurs en cybersécurité ont découvert une deuxième menace nuisible, exploitant le filtre de paquets Berkeley (BPF) sur les systèmes Linux. Traqué sous le nom de BPFDoor, le logiciel malveillant pourrait potentiellement être trouvé sur des milliers d'appareils Linux, mais plus important encore, son contrôleur a réussi à rester non détecté pendant des années. Les acteurs de la menace ont pu effectuer des activités de surveillance et d'espionnage sur les systèmes compromis.

BPF est conçu pour faciliter le traçage de paquets hautes performances, ainsi que l'analyse du réseau. Cependant, ses fonctionnalités ont été encore étendues avec eBPF (BPF étendu) permettant l'exécution de code en bac à sable dans le noyau du système d'exploitation. Les acteurs de la menace ont réalisé à quel point un tel outil peut être utile pour le traçage, l'accrochage des appels système, le débogage, la capture et le filtrage de paquets, l'instrumentation et plus encore.

Le BPFDoor, en particulier, est capable d'établir un accès par porte dérobée aux machines piratées et de permettre l'exécution de code à distance. Cependant. ce que les experts en cybersécurité ont noté, c'est la capacité de la menace à exécuter ses fonctions nuisibles sans ouvrir de nouveaux ports réseau ou règles de pare-feu. Selon le chercheur en sécurité Kevin Beaumont qui a analysé BPFDoor, la menace peut écouter et réagir sur les ports existants, n'ouvre aucun port réseau entrant, n'implique pas de C2 sortant et peut renommer ses propres processus sous Linux. Les chercheurs en cybersécurité qui suivent BPFDoor depuis un certain temps déclarent avoir attribué le malware à un acteur menaçant lié à la Chine suivi sous le nom de Red Menshen.