Securitybedrijf Rapid7 waarschuwt voor BPFdoor, een backdoor die misbruik maakt van de Linux-kernel. De malware geeft aanvallers stille, langdurige toegang tot servers en netwerken. De campagne is wereldwijd actief en raakt ook Europa en Nederland. Doel is spionage en diefstal van data zonder dat beveiliging het ziet.
Backdoor misbruikt Linux-kernel
BPFdoor gebruikt BPF, een mechanisme in de Linux-kernel om netwerkverkeer te filteren. De aanvaller laadt een klein programma in de kernel en luistert mee op laag niveau. Zo kan het systeem commando’s aannemen en bestanden kopiëren zonder zichtbare sporen. Vaak vermomt de malware zich als een normaal systeemproces.
De backdoor werkt passief. Hij wacht op een speciaal “magisch” pakket en opent dan een verborgen kanaal. Dit kanaal kan een shell zijn, een proxy of een tunnel naar een ander systeem. Omdat er weinig opvallend verkeer is, blijft detectie lastig.
Rapid7 beschrijft varianten die via meerdere protocollen werken, zoals TCP, UDP en ICMP. Dat maakt blokkeren moeilijker, omdat standaardregels dit verkeer vaak toestaan. De malware kan ook poorten omleiden, zodat onderzoekstools niets vinden. Daarmee is langdurige spionage mogelijk, ook in gesegmenteerde netwerken.
eBPF is een methode om kleine programma’s veilig in de Linux-kernel te draaien, vaak voor netwerkfilters en monitoring.
Aanval omzeilt netwerkbeveiliging
Omdat BPFdoor in de kernel meeluistert, ziet een firewall of IDS het activeringspakket vaak niet. De backdoor hoeft geen poort te openen en valt dus niet op in scans. Ook endpointbeveiliging die vooral op processen let, ziet de kernel-logica niet snel. Hierdoor kan de aanvaller weken tot maanden onopgemerkt blijven.
De malware kan data stapsgewijs naar buiten sturen, bijvoorbeeld via DNS of ICMP. Dat lijkt op normaal beheer- of diagnoseverkeer. In drukke omgevingen, zoals cloudplatforms of Kubernetes-clusters, valt dit nog minder op. Zo ontstaat diepe zichtbaarheid voor de aanvaller, en juist minder zicht voor de beheerder.
De aanpak werkt ook bij gemengde Linux-omgevingen met verschillende distributies. Standaard kernel-functies worden benut, geen zeldzame modules. Daardoor zijn veel servers kwetsbaar als basisbeveiliging niet op orde is. Denk aan te ruime rechten of oude kernels zonder recente beveiligingsopties.
Impact in Nederland en EU
Veel Nederlandse organisaties draaien kritieke diensten op Linux, van overheidsportalen tot zorgsystemen. Een onzichtbare backdoor vergroot het risico op datadiefstal en verstoring van dienstverlening. Bij exfiltratie van persoonsgegevens geldt de AVG en mogelijk een meldplicht datalek. Dat vraagt om snelle triage en logging die ook laag-niveau verkeer dekt.
Voor “essentiële” en “belangrijke” entiteiten onder de NIS2-richtlijn betekent dit: aantoonbare risicobeheersing en snelle incidentmelding. Denk aan netwerksegmentatie, strikte toegangscontrole en continue monitoring. Leveranciers in de keten vallen ook onder NIS2-verplichtingen. Eén zwakke schakel kan zo het hele netwerk blootstellen.
NCSC-NL en ENISA adviseren al langer om kernel-tampering en verborgen kanalen mee te nemen in dreigingsmodellen. BPFdoor bevestigt dat advies. Organisaties doen er goed aan hun detectie uit te breiden naar kernel- en eBPF-activiteit. Dit geldt extra voor cloud en containeromgevingen.
Opsporing vergt kernel-inzicht
Detectie kan via inventarisatie van geladen eBPF/BPF-programma’s met tools als bpftool. Controleer ook tc-filters en afwijkende netwerkhooks. Zoek naar processen met ongebruikelijke capabilities, zoals CAP_BPF en CAP_NET_RAW. Combineer dit met netwerk-telemetrie en egress-controles.
Let op valse procesnamen en binaries op onverwachte plekken, zoals tijdelijke mappen. Vergelijk hashwaarden met vertrouwde baselines. Monitor ICMP- en DNS-verkeer op patronen die op tunneling lijken. Zet alerts op “magische” pakketkenmerken die in rules zijn vast te leggen.
Veel EDR-oplossingen missen standaard eBPF-inzichten. Overweeg daarom sensoren die kernel-events kunnen lezen. Open source-projecten als Falco of Tracee kunnen helpen bij runtime-detectie. Log en bewaar artefacten, zodat forensisch onderzoek mogelijk blijft.
Beperken via beleid en patch
Beperk rechten: geef services geen CAP_BPF of CAP_NET_RAW als dat niet nodig is. Overweeg kernel lockdown en het vereisen van gesigneerde BPF-programma’s waar ondersteund. Update naar recente kernels met strengere verificatie en verbeterde audit. Minimaliseer aanvalsoppervlak door onnodige netwerktools te verwijderen.
Segmenteer netwerken en beperk uitgaand verkeer met expliciete allow-lijsten. Dat breekt verborgen kanalen richting het internet. Pas DNS- en ICMP-beleid aan: alleen wat operationeel echt nodig is. Gebruik egress-proxy’s met inspectie en versleuteling.
Leg procedures vast voor snelle isolatie en melding. Bij mogelijke datalekken is er onder de AVG tijdsdruk voor notificatie. Test incidentrespons met scenario’s die kernelmanipulatie omvatten. Oefen herstel vanaf schone images en gouden configuraties.
Actiepunten voor beheerders
Directe stappen helpen om risico te verlagen en sporen te vinden. De volgende lijst is praktisch uitvoerbaar in de meeste Linux-omgevingen. Pas ze aan op basis van servicekritiek en compliance-eisen. Documenteer alle wijzigingen voor audit en herstel.
- Inventariseer eBPF/BPF-programma’s (bpftool) en tc-filters; verwijder onbekende entries.
- Beperk capabilities (CAP_BPF, CAP_NET_RAW) en schakel kernel lockdown in waar mogelijk.
- Update kernel en distributie, en zet audit op kernel- en netwerkevents aan.
- Beperk en monitor ICMP/DNS/UDP-uitgaand verkeer; voeg egress-allow-lijsten toe.
- Controleer op valse procesnamen en ongebruikelijke persistentiemechanismen.
- Stel procedures in voor AVG-meldplicht en NIS2-incidentmelding, op het moment van schrijven verplicht voor veel sectoren.
