يثير وجود نوعين متطورين من برامج التجسس (rootkits) على أنظمة لينكس قلقاً متزايداً في مجال الأمن السيبراني، وذلك بسبب استغلالهما لتقنية eBPF لطمس آثارهما وإخفاء وجودهما عن أنظمة الكشف التقليدية.
تمثل برامج BPFDoor و Symbiote، اللتان ظهرتا لأول مرة في عام 2021، فئة خطيرة من البرمجيات الخبيثة التي تجمع بين الوصول المتقدم على مستوى نواة النظام وقدرات تخفٍ قوية.
ففي عام 2025 وحده، اكتشف باحثو الأمن 151 عينة جديدة من BPFDoor وثلاث عينات من Symbiote، مما يدل على أن هذه التهديدات تخضع لتطوير ونشر نشط ضد البنى التحتية الحيوية.
تعتمد هذه البرامج الخبيثة على تقنية eBPF (extended Berkeley Packet Filter)، وهي ميزة في نواة لينكس أُطلقت في عام 2015، وتسمح للمستخدمين بتحميل برامج معزولة مباشرة في النواة لفحص وتعديل حزم الشبكة واستدعاءات النظام.
وبينما تخدم eBPF أغراضاً مشروعة في مراقبة الشبكات والأمن، فقد نجح مطورو البرمجيات الخبيثة في تحويلها إلى أدوات لإنشاء أبواب خلفية شبه غير قابلة للكشف، قادرة على اعتراض الاتصالات والحفاظ على وصول مستمر دون إطلاق تنبيهات أمنية تقليدية.
يعكس ظهور هذه التهديدات تحولاً استراتيجياً في تطوير البرمجيات الخبيثة؛ فعلى عكس برامج الفدية واسعة الانتشار أو شبكات الروبوتات الشائعة، تتطلب برامج التجسس القائمة على eBPF خبرات تقنية متخصصة لتطويرها ونشرها.
استغلال برامج التجسس eBPF لتهديدات أمنية متقدمة
يجعل هذا التخصص هذه الأدوات الخيار المفضل للمهاجمين المدعومين من جهات حكومية، والذين يسعون إلى الحصول على وصول موثوق وطويل الأمد إلى الأنظمة الحيوية.
حدد محللو الأمن في Fortinet أن كلتا العائلتين من البرمجيات الخبيثة تستمران في التطور بآليات ترشيح متزايدة التطور، مصممة لتجاوز الدفاعات الأمنية الحديثة.
تُظهر النسخ الحديثة تحسينات تكتيكية ملحوظة. فإصدار Symbiote الأخير، الصادر في يوليو 2025، أصبح يدعم الآن حزم IPv4 و IPv6 عبر بروتوكولات TCP و UDP و SCTP على منافذ غير قياسية، بما في ذلك 54778، 58870، 59666، 54879، 57987، 64322، 45677، و 63227.
يسمح هذا النطاق الموسع للمنافذ للبرمجيات الخبيثة بإجراء اتصالات القيادة والسيطرة عبر “قفز المنافذ”، مما يجعل من الصعب على مسؤولي الشبكات حظر حركة المرور الخبيثة دون إحداث نتائج إيجابية خاطئة (false positives).
تطور تكتيكات التخفي
يقع التطور الأكثر إثارة للقلق في كيفية إخفاء اتصالات القيادة والسيطرة لهذه البرمجيات الخبيثة. فقد أصبحت الإصدارات الحديثة من BPFDoor، التي صدرت في عام 2025، تدعم الآن حركة مرور IPv6 وتقوم بترشيح حركة مرور DNS بذكاء على المنفذ 53 عبر بروتوكولي IPv4 و IPv6.
من خلال التنكر كاستعلامات DNS مشروعة، تندمج البرمجيات الخبيثة بسلاسة في نشاط الشبكة الطبيعي الذي تعتبره فرق الأمن عادةً غير ضار وروتيني.
يعمل التنفيذ التقني باستخدام شفرة eBPF التي ترتبط مباشرة بمقابسد الشبكة، وتعمل كمرشح للحزم على مستوى النواة غير مرئي لأدوات المستخدم العادية (userspace tools).
عند تحليل الشفرة باستخدام أدوات الهندسة العكسية المتخصصة مثل Radare2، تكشف عن إجراءات فحص مصممة بعناية تحدد حزم الأوامر من خلال أرقام منافذ محددة ومجموعات بروتوكولات، ثم تمررها بصمت إلى خوادم القيادة مع تجاهل جميع حركة المرور الأخرى.
تظل إمكانية الكشف عن هذه التهديدات صعبة للغاية، لأن مرشحات eBPF تعمل على مستوى النواة، أي تحت نطاق رؤية أدوات المراقبة الأمنية القياسية.
تكتشف آليات الحماية في Fortinet حالياً هذه التهديدات من خلال محركات مكافحة الفيروسات القائمة على التوقيعات، وتوقيعات أنظمة منع الاختراق (IPS) المتخصصة التي تراقب اتصالات الأوامر عن بعد ونشاط شبكات الروبوتات.