Špionážní kampaň Red Menshen
Dlouhodobá a vysoce strategická kybernetická špionážní kampaň spojená s čínskou hrozbou se úspěšně začlenila do telekomunikačních sítí. Hlavním cílem je sledovat a infiltrovat vládní infrastrukturu s využitím telekomunikačního prostředí jako brány.
Tato dlouhodobá operace je připisována skupině hrozeb známé jako Red Menshen, která je sledována také pod přezdívkami Earth Bluecrow, DecisiveArchitect a Red Dev 18. Od roku 2021 se skupina soustavně zaměřuje na telekomunikační poskytovatele na Blízkém východě a v Asii a získává hluboce zakořeněný a skrytý přístup do kritických systémů.
Obsah
Digitální spící buňky: Pokročilé techniky perzistence
Bezpečnostní výzkumníci charakterizovali přístupové mechanismy použité v této kampani jako jedny z nejtajnějších, jaké kdy byly v telekomunikačních sítích pozorovány. Tyto techniky fungují jako digitální spicí buňky, které zůstávají neaktivní a nezjištěné, dokud nejsou aktivovány.
Útočníci se spoléhají na kombinaci vysoce pokročilých nástrojů a technik, včetně:
- Implantáty na úrovni jádra, které fungují hluboko v operačním systému
- Pasivní zadní vrátka, která se vyhýbají tradičním metodám detekce
- Nástroje pro shromažďování přihlašovacích údajů pro shromažďování citlivých přístupových údajů
- Multiplatformní řídicí a kontrolní rámce umožňující flexibilní provoz
Díky těmto schopnostem si útočník udržuje dlouhodobou přítomnost a zároveň minimalizuje detekovatelnou aktivitu.
BPFDoor: Neviditelný zadní vrátka v jádře
V centru této kampaně ležíBPFDoor , backdoor založený na Linuxu, který je ztělesněním nenápadnosti a sofistikovanosti. Na rozdíl od tradičního malwaru se tento implantát vyhýbá vytváření detekovatelných síťových indikátorů.
Místo otevírání portů nebo udržování viditelných komunikačních kanálů využívá BPFDoor funkcionalitu Berkeley Packet Filter (BPF) v linuxovém jádře. Interně kontroluje síťový provoz a aktivuje se pouze tehdy, když obdrží speciálně vytvořený „magický“ paket.
Tato konstrukce eliminuje potřebu persistentních posluchačů nebo signálů a efektivně začleňuje skrytý mechanismus přístupu přímo do operačního systému. Výsledkem je prakticky neviditelný vstupní bod, který je extrémně obtížné odhalit pomocí konvenčních monitorovacích nástrojů.
Počáteční kompromis: Využití edge infrastruktury
Řetězec útoku obvykle začíná cílením na systémy a edge zařízení s přístupem k internetu. Patří sem VPN brány, firewally a webové služby, zejména ty spojené s hlavními podnikovými technologiemi.
Jakmile je dosaženo počátečního přístupu, útočníci nasadí sadu nástrojů pro post-exploitační operace, aby rozšířili svou kontrolu. Patří mezi ně frameworky jako CrossC2, spolu se Sliverem a TinyShellem, keyloggery a nástroje pro hrubou silu. Tyto nástroje společně umožňují sběr přihlašovacích údajů, interní průzkum a laterální pohyb napříč kompromitovaným prostředím.
Dvoukomponentní architektura: Ovládání a aktivace
BPFDoor funguje na základě dvoudílné architektury navržené pro přesnost a nenápadnost. Jedna komponenta se nachází v napadeném systému a pasivně monitoruje příchozí provoz a hledá předem definovaný spouštěcí paket. Po detekci se aktivuje spuštěním vzdáleného shellu.
Druhou složkou je řídicí jednotka ovládaná útočníkem. Tato řídicí jednotka odesílá speciálně vytvořené pakety k aktivaci implantátů a může fungovat i v prostředí oběti. Při interním nasazení se může maskovat jako legitimní systémové procesy, koordinovat další infekce a usnadňovat kontrolovaný laterální pohyb mezi systémy.
Dohled na úrovni telekomunikací: Více než tradiční zadní vrátka
Některé varianty BPFDoor vykazují funkce, které přesahují standardní funkcionalitu zadních vrátek. Podpora protokolu Stream Control Transmission Protocol (SCTP) umožňuje monitorování komunikace specifické pro telekomunikační zařízení.
Tato funkce umožňuje útočníkům získat přehled o aktivitě předplatitelů, sledovat jejich chování a potenciálně určit fyzickou polohu osob, které je zajímají. BPFDoor tak efektivně slouží jako vrstva dohledu zabudovaná do telekomunikační infrastruktury a poskytuje dlouhodobý a nenápadný dohled nad citlivými operacemi.
Znovuobjevená úhybnost: Nové varianty a vylepšení nenápadnosti
Nově identifikovaná varianta BPFDoor zavádí architektonická vylepšení navržená ke zvýšení úniku a prodloužení životnosti. Mezi klíčová vylepšení patří:
- Skrývání spouštěcích paketů v rámci zdánlivě legitimního HTTPS provozu
- Vynucení fixního bajtového posunu („9999“) pro spolehlivou detekci aktivace
- Zavedení komunikace mezi infikovanými hostiteli založené na protokolu ICMP pro nenápadnou interakci
Tyto techniky umožňují bezproblémové propojení škodlivého provozu s běžnou síťovou aktivitou, což výrazně snižuje pravděpodobnost odhalení a zároveň zajišťuje spolehlivé provádění příkazů.
Vyvíjející se řemesla: Hlouběji do zásoby
Kampaň zdůrazňuje širší posun v metodologii útočníků. Místo spoléhání se výhradně na malware v uživatelském prostoru útočníci stále častěji zavádějí implantáty hlouběji do výpočetního stacku, zejména na úrovni jádra a infrastruktury.
Telekomunikační prostředí jsou obzvláště atraktivním cílem kvůli své složitosti, která zahrnuje systémy typu holé železo, virtualizační vrstvy, vysoce výkonný síťový hardware a kontejnerizované základní komponenty 4G/5G. Integrací s legitimními službami a běhovými prostředími mohou tyto implantáty obcházet tradiční obranu koncových bodů a zůstat po delší dobu nedetekované.
Závěr: Nová hranice v kybernetické špionáži
Tato kampaň demonstruje významný vývoj v taktikách kybernetické špionáže. Využitím telekomunikační infrastruktury a mechanismů stealth na úrovni jádra útočníci dosahují dlouhodobého a nenápadného přístupu k vysoce citlivým prostředím.
Používání pokročilých nástrojů, jako je BPFDoor, v kombinaci s inovativními technikami obcházení a hlubokou integrací systému signalizuje rostoucí výzvu pro obránce. Detekce a zmírňování takových hrozeb vyžaduje lepší přehled o nižších vrstvách výpočetního systému a přehodnocení tradičních bezpečnostních přístupů.
