Шпионска кампания Red Menshen
Упорита и силно стратегическа кампания за кибершпионаж, свързана с обвързан с Китай хакер, успешно се е внедрила в телекомуникационните мрежи. Основната цел е да се наблюдава и проникне в правителствена инфраструктура, като се използват телекомуникационните среди като портал.
Тази дългогодишна операция се приписва на клъстера от заплахи, известен като Red Menshen, проследяван също под псевдоними като Earth Bluecrow, DecisiveArchitect и Red Dev 18. Поне от 2021 г. насам групата постоянно атакува телекомуникационни доставчици в Близкия изток и Азия, установявайки дълбоко вкоренен и скрит достъп в критични системи.
Съдържание
Цифрови спящи клетки: Усъвършенствани техники за постоянство
Изследователите по сигурността характеризират механизмите за достъп, използвани в тази кампания, като едни от най-скритите, наблюдавани някога в телекомуникационните мрежи. Тези техники функционират като цифрови спящи клетки, оставайки латентни и неоткрити, докато не бъдат активирани.
Нападателите разчитат на комбинация от високотехнологични инструменти и техники, включително:
- Импланти на ниво ядро, които работят дълбоко в операционната система
- Пасивни задни врати, които избягват традиционните методи за откриване
- Помощни програми за събиране на идентификационни данни за чувствителни данни за достъп
- Междуплатформени рамки за командване и контрол, позволяващи гъвкави операции
Тези възможности позволяват на злонамерения участник да поддържа дългосрочна устойчивост, като същевременно минимизира откриваемата активност.
BPFDoor: Невидимата задна врата в ядрото
В центъра на тази кампания еBPFDoor , базирана на Linux задна врата, която е пример за скритост и изтънченост. За разлика от традиционния зловреден софтуер, този имплант избягва създаването на откриваеми мрежови индикатори.
Вместо да отваря портове или да поддържа видими комуникационни канали, BPFDoor използва функционалността на Berkeley Packet Filter (BPF) в ядрото на Linux. Той проверява мрежовия трафик вътрешно и се активира само когато получи специално създаден „магически“ пакет.
Този дизайн елиминира необходимостта от постоянни слушатели или маяци, като ефективно вгражда скрит механизъм за достъп директно в операционната система. Резултатът е практически невидима входна точка, която е изключително трудна за откриване чрез конвенционални инструменти за мониторинг.
Първоначален компромис: Използване на периферна инфраструктура
Веригата от атаки обикновено започва с насочване към системи, свързани с интернет, и периферни устройства. Те включват VPN шлюзове, защитни стени и уеб услуги, особено тези, свързани с основни корпоративни технологии.
След като получат първоначален достъп, нападателите внедряват набор от инструменти за пост-експлоатация, за да разширят контрола си. Те включват рамки като CrossC2, заедно със Sliver, TinyShell, кейлогъри и инструменти за груба сила. Заедно тези инструменти позволяват събиране на идентификационни данни, вътрешно разузнаване и странично движение в компрометирани среди.
Двукомпонентна архитектура: Управление и активиране
BPFDoor работи чрез двукомпонентна архитектура, проектирана за прецизност и скритост. Единият компонент се намира на компрометираната система, пасивно наблюдавайки входящия трафик за предварително дефиниран тригерен пакет. При откриване, той се активира чрез стартиране на отдалечена обвивка (shell).
Вторият компонент е контролер, управляван от нападателя. Този контролер изпраща специално създадени пакети за активиране на импланти и може да функционира и в средата на жертвата. Когато е разположен вътрешно, той може да се маскира като легитимни системни процеси, да координира допълнителни инфекции и да улеснява контролирано странично движение между системите.
Наблюдение на телекомуникационно ниво: Отвъд традиционните задни вратички
Някои варианти на BPFDoor демонстрират възможности, които надхвърлят стандартната функционалност на задната вратичка. Поддръжката на протокола за управление на потока (SCTP) позволява наблюдение на комуникации, специфични за телекомуникациите.
Тази възможност позволява на нападателите да получат представа за активността на абонатите, да проследяват поведението на потребителите и потенциално да определят физическото местоположение на лица, представляващи интерес. В резултат на това BPFDoor ефективно служи като слой за наблюдение, вграден в телекомуникационната инфраструктура, осигурявайки дългосрочна видимост с ниско ниво на шум в чувствителни операции.
Преоткрито избягване: Нови варианти и подобрения в стелт
Новоидентифициран вариант на BPFDoor въвежда архитектурни подобрения, предназначени да подобрят избягването на грешки и по-голяма дълготрайност. Ключовите подобрения включват:
- Скриване на тригерни пакети в привидно легитимен HTTPS трафик
- Прилагане на фиксиран маркер за байтово отместване („9999“) за надеждно откриване на активиране
- Въвеждане на ICMP-базирана комуникация между заразени хостове за нископрофилно взаимодействие
Тези техники позволяват на злонамерения трафик да се слее безпроблемно с нормалната мрежова активност, значително намалявайки вероятността от откриване, като същевременно поддържат надеждно изпълнение на команди.
Развиващи се търговски занаяти: По-дълбоко в стека
Кампанията подчертава по-широка промяна в методологията на атакуващите. Вместо да разчитат единствено на зловреден софтуер в потребителското пространство, нападателите все по-често вграждат импланти по-дълбоко в изчислителния стек, особено на ниво ядро и инфраструктура.
Телекомуникационните среди са особено привлекателни цели поради своята сложност, която включва системи с гол метал, слоеве за виртуализация, високопроизводителен мрежов хардуер и контейнеризирани 4G/5G основни компоненти. Чрез интегриране с легитимни услуги и среди за изпълнение, тези импланти могат да заобиколят традиционните защити на крайните точки и да останат неоткрити за продължителни периоди.
Заключение: Нова граница в кибершпионажа
Тази кампания демонстрира значителна еволюция в тактиките за кибершпионаж. Чрез използване на телекомуникационната инфраструктура и механизмите за стелт на ниво ядро, нападателите постигат дългосрочен, незабележим достъп до силно чувствителни среди.
Използването на усъвършенствани инструменти като BPFDoor, съчетани с иновативни техники за избягване и дълбока системна интеграция, сигнализира за нарастващо предизвикателство за защитниците. Откриването и смекчаването на подобни заплахи изисква подобрена видимост в по-ниските слоеве на изчислителния стек и преосмисляне на традиционните подходи за сигурност.
