Rød Menshen-spionagekampagne
En vedvarende og yderst strategisk cyberspionagekampagne med forbindelse til en trusselsaktør tilknyttet Kina har med succes integreret sig i telekommunikationsnetværk. Hovedformålet er at overvåge og infiltrere regeringsrelateret infrastruktur ved at udnytte telekommunikationsmiljøer som en indgangsport.
Denne langvarige operation tilskrives trusselsgruppen kendt som Red Menshen, der også spores under aliaser som Earth Bluecrow, DecisiveArchitect og Red Dev 18. Siden mindst 2021 har gruppen konsekvent målrettet angrebet teleudbydere i Mellemøsten og Asien og etableret dybtliggende og skjult adgang i kritiske systemer.
Indholdsfortegnelse
Digitale sovende celler: Avancerede persistensteknikker
Sikkerhedsforskere har karakteriseret de adgangsmekanismer, der blev brugt i denne kampagne, som blandt de mest skjulte, der nogensinde er observeret i telekommunikationsnetværk. Disse teknikker fungerer som digitale sovende celler, der forbliver inaktive og uopdagede, indtil de aktiveres.
Angriberne benytter sig af en kombination af meget avancerede værktøjer og teknikker, herunder:
- Kernel-niveau implantater, der opererer dybt inde i operativsystemet
- Passive bagdøre, der undgår traditionelle detektionsmetoder
- Værktøjer til indsamling af legitimationsoplysninger til indsamling af følsomme adgangsdata
- Krydsplatforms kommando- og kontrolrammer, der muliggør fleksible operationer
Disse funktioner gør det muligt for trusselsaktøren at opretholde langsigtet persistens, samtidig med at detekterbar aktivitet minimeres.
BPFDoor: Den usynlige bagdør i kernen
I centrum for denne kampagne liggerBPFDoor , en Linux-baseret bagdør, der eksemplificerer stealth og sofistikering. I modsætning til traditionel malware undgår dette implantat at skabe detekterbare netværksindikatorer.
I stedet for at åbne porte eller opretholde synlige kommunikationskanaler, udnytter BPFDoor Berkeley Packet Filter (BPF) funktionalitet i Linux-kernen. Den inspicerer netværkstrafik internt og aktiveres kun, når den modtager en specialfremstillet 'magisk' pakke.
Dette design eliminerer behovet for vedvarende lyttere eller beaconing-aktivitet og integrerer effektivt en skjult adgangsmekanisme direkte i operativsystemet. Resultatet er et stort set usynligt indgangspunkt, der er ekstremt vanskeligt at opdage via konventionelle overvågningsværktøjer.
Indledende kompromis: Udnyttelse af Edge-infrastruktur
Angrebskæden starter typisk med at målrette internetvendte systemer og edge-enheder. Disse omfatter VPN-gateways, firewalls og webbaserede tjenester, især dem, der er forbundet med store virksomhedsteknologier.
Når den første adgang er opnået, implementerer angriberne en række værktøjer efter udnyttelsen for at udvide deres kontrol. Disse omfatter frameworks som CrossC2, sammen med Sliver, TinyShell, keyloggers og brute-force-værktøjer. Sammen muliggør disse værktøjer indsamling af legitimationsoplysninger, intern rekognoscering og lateral bevægelse på tværs af kompromitterede miljøer.
Dobbeltkomponentarkitektur: Kontrol og aktivering
BPFDoor fungerer via en todelt arkitektur designet til præcision og stealth. En komponent findes på det kompromitterede system og overvåger passivt indgående trafik for en foruddefineret triggerpakke. Ved detektering aktiveres den ved at oprette en fjern shell.
Den anden komponent er en controller, der betjenes af angriberen. Denne controller sender specialfremstillede pakker for at aktivere implantater og kan også fungere i offerets miljø. Når den implementeres internt, kan den forklæde sig som legitime systemprocesser, koordinere yderligere infektioner og muliggøre kontrolleret lateral bevægelse mellem systemer.
Overvågning på telekommunikationsniveau: Ud over traditionelle bagdøre
Visse varianter af BPFDoor demonstrerer funktioner, der rækker ud over standard bagdørsfunktionalitet. Understøttelse af Stream Control Transmission Protocol (SCTP) muliggør overvågning af telekommunikationsspecifik kommunikation.
Denne funktion giver angribere mulighed for at få indsigt i abonnentaktivitet, spore brugeradfærd og potentielt bestemme den fysiske placering af interesserede personer. Som et resultat fungerer BPFDoor effektivt som et overvågningslag indlejret i telekommunikationsinfrastrukturen, hvilket giver langsigtet, støjsvag indsigt i følsomme operationer.
Undvigelse genopfundet: Nye varianter og skjulte forbedringer
En nyligt identificeret variant af BPFDoor introducerer arkitektoniske forbedringer designet til at forbedre undvigelsessikkerhed og levetid. Vigtige forbedringer inkluderer:
- Skjulning af triggerpakker i tilsyneladende legitim HTTPS-trafik
- Håndhævelse af en fast byte-offset-markør ('9999') for pålidelig aktiveringsdetektion
- Introduktion af ICMP-baseret kommunikation mellem inficerede værter til interaktion med lav profil
Disse teknikker gør det muligt for ondsindet trafik at blande sig problemfrit med normal netværksaktivitet, hvilket reducerer sandsynligheden for detektion betydeligt, samtidig med at pålidelig kommandoudførelse opretholdes.
Udviklende håndværk: Dybere ned i stakken
Kampagnen fremhæver et bredere skift i angribernes metode. I stedet for udelukkende at stole på malware i brugerområdet, integrerer modstandere i stigende grad implantater dybere i computerstakken, især på kerne- og infrastrukturniveau.
Telekommunikationsmiljøer er særligt attraktive mål på grund af deres kompleksitet, som inkluderer bare-metal-systemer, virtualiseringslag, højtydende netværkshardware og containeriserede 4G/5G-kernekomponenter. Ved at integrere med legitime tjenester og runtime-miljøer kan disse implantater omgå traditionelle endpoint-forsvar og forblive uopdaget i længere perioder.
Konklusion: En ny grænse inden for cyberspionage
Denne kampagne demonstrerer en betydelig udvikling inden for cyberspionagetaktikker. Ved at udnytte telekommunikationsinfrastruktur og stealth-mekanismer på kerneniveau opnår angribere langvarig adgang til meget følsomme miljøer med lav synlighed.
Brugen af avancerede værktøjer som BPFDoor kombineret med innovative undvigelsesteknikker og dybdegående systemintegration signalerer en voksende udfordring for forsvarere. Detektion og afbødning af sådanne trusler kræver forbedret indsigt i de lavere lag af computerstakken og en gentænkning af traditionelle sikkerhedstilgange.
