Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Εκστρατεία Κατασκοπείας Red Menshen

Εκστρατεία Κατασκοπείας Red Menshen

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια επίμονη και εξαιρετικά στρατηγική εκστρατεία κυβερνοκατασκοπείας που συνδέεται με έναν απειλητικό παράγοντα που συνδέεται με την Κίνα έχει ενσωματωθεί με επιτυχία σε τηλεπικοινωνιακά δίκτυα. Ο πρωταρχικός στόχος είναι η επιτήρηση και η διείσδυση σε κυβερνητικές υποδομές αξιοποιώντας τα τηλεπικοινωνιακά περιβάλλοντα ως πύλη.

Αυτή η μακροχρόνια επιχείρηση αποδίδεται στο σύμπλεγμα απειλών γνωστό ως Red Menshen, το οποίο παρακολουθείται επίσης με ψευδώνυμα όπως Earth Bluecrow, DecisiveArchitect και Red Dev 18. Από τουλάχιστον το 2021, η ομάδα στοχεύει σταθερά παρόχους τηλεπικοινωνιών σε όλη τη Μέση Ανατολή και την Ασία, δημιουργώντας βαθιά ριζωμένη και μυστική πρόσβαση σε κρίσιμα συστήματα.

Ψηφιακά Κύτταρα Κοιμώμενων: Προηγμένες Τεχνικές Επιμονής

Οι ερευνητές ασφαλείας έχουν χαρακτηρίσει τους μηχανισμούς πρόσβασης που χρησιμοποιούνται σε αυτήν την εκστρατεία ως από τους πιο μυστικούς που έχουν παρατηρηθεί ποτέ σε τηλεπικοινωνιακά δίκτυα. Αυτές οι τεχνικές λειτουργούν σαν ψηφιακά κελιά-ύπνους, παραμένοντας αδρανείς και μη ανιχνεύσιμοι μέχρι να ενεργοποιηθούν.

Οι επιτιθέμενοι βασίζονται σε έναν συνδυασμό εξαιρετικά προηγμένων εργαλείων και τεχνικών, όπως:

  • Εμφυτεύματα σε επίπεδο πυρήνα που λειτουργούν βαθιά μέσα στο λειτουργικό σύστημα
  • Παθητικές κερκόπορτες που αποφεύγουν τις παραδοσιακές μεθόδους ανίχνευσης
  • Βοηθητικά προγράμματα συλλογής διαπιστευτηρίων για τη συλλογή ευαίσθητων δεδομένων πρόσβασης
  • Πλαίσια εντολών και ελέγχου σε διάφορες πλατφόρμες που επιτρέπουν ευέλικτες λειτουργίες

Αυτές οι δυνατότητες επιτρέπουν στον παράγοντα απειλής να διατηρεί μακροπρόθεσμη επιμονή, ελαχιστοποιώντας παράλληλα την ανιχνεύσιμη δραστηριότητα.

BPFDoor: Η αόρατη πίσω πόρτα στον πυρήνα

Στο επίκεντρο αυτής της καμπάνιας βρίσκεταιτο BPFDoor , ένα backdoor που βασίζεται σε Linux και αποτελεί παράδειγμα μυστικότητας και πολυπλοκότητας. Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό, αυτό το εμφύτευμα αποφεύγει τη δημιουργία ανιχνεύσιμων δεικτών δικτύου.

Αντί να ανοίγει θύρες ή να διατηρεί ορατά κανάλια επικοινωνίας, το BPFDoor εκμεταλλεύεται τη λειτουργικότητα του Berkeley Packet Filter (BPF) μέσα στον πυρήνα του Linux. Ελέγχει εσωτερικά την κίνηση δικτύου και ενεργοποιείται μόνο όταν λαμβάνει ένα ειδικά κατασκευασμένο «μαγικό» πακέτο.

Αυτός ο σχεδιασμός εξαλείφει την ανάγκη για μόνιμους ακροατές ή δραστηριότητα beaconing, ενσωματώνοντας ουσιαστικά έναν κρυφό μηχανισμό πρόσβασης απευθείας στο λειτουργικό σύστημα. Το αποτέλεσμα είναι ένα σχεδόν αόρατο σημείο εισόδου που είναι εξαιρετικά δύσκολο να εντοπιστεί μέσω συμβατικών εργαλείων παρακολούθησης.

Αρχικός Συμβιβασμός: Αξιοποίηση Υποδομών Edge

Η αλυσίδα επιθέσεων συνήθως ξεκινά με τη στόχευση συστημάτων που συνδέονται με το διαδίκτυο και συσκευών edge. Σε αυτά περιλαμβάνονται πύλες VPN, τείχη προστασίας και υπηρεσίες που συνδέονται με το διαδίκτυο, ιδίως εκείνες που σχετίζονται με μεγάλες εταιρικές τεχνολογίες.

Μόλις επιτευχθεί η αρχική πρόσβαση, οι επιτιθέμενοι αναπτύσσουν μια σουίτα εργαλείων μετά την εκμετάλλευση για να επεκτείνουν τον έλεγχό τους. Αυτά περιλαμβάνουν πλαίσια όπως το CrossC2, μαζί με το Sliver, το TinyShell, προγράμματα καταγραφής keyloggers και βοηθητικά προγράμματα brute-force. Μαζί, αυτά τα εργαλεία επιτρέπουν τη συλλογή διαπιστευτηρίων, την εσωτερική αναγνώριση και την πλευρική μετακίνηση σε παραβιασμένα περιβάλλοντα.

Αρχιτεκτονική Διπλών Στοιχείων: Έλεγχος και Ενεργοποίηση

Το BPFDoor λειτουργεί μέσω μιας αρχιτεκτονικής δύο μερών, σχεδιασμένης για ακρίβεια και μυστικότητα. Το ένα στοιχείο βρίσκεται στο παραβιασμένο σύστημα, παρακολουθώντας παθητικά την εισερχόμενη κίνηση για ένα προκαθορισμένο πακέτο ενεργοποίησης. Μόλις εντοπιστεί, ενεργοποιείται δημιουργώντας ένα απομακρυσμένο κέλυφος.

Το δεύτερο στοιχείο είναι ένας ελεγκτής που λειτουργεί από τον εισβολέα. Αυτός ο ελεγκτής στέλνει ειδικά κατασκευασμένα πακέτα για την ενεργοποίηση εμφυτευμάτων και μπορεί επίσης να λειτουργήσει εντός του περιβάλλοντος του θύματος. Όταν αναπτύσσεται εσωτερικά, μπορεί να μεταμφιεστεί σε νόμιμες διαδικασίες συστήματος, να συντονίζει πρόσθετες μολύνσεις και να διευκολύνει την ελεγχόμενη πλευρική κίνηση μεταξύ συστημάτων.

Επιτήρηση σε επίπεδο τηλεπικοινωνιών: Πέρα από τις παραδοσιακές κερκόπορτες

Ορισμένες παραλλαγές του BPFDoor επιδεικνύουν δυνατότητες που εκτείνονται πέρα από την τυπική λειτουργικότητα backdoor. Η υποστήριξη για το Stream Control Transmission Protocol (SCTP) επιτρέπει την παρακολούθηση επικοινωνιών ειδικά για τηλεπικοινωνίες.

Αυτή η δυνατότητα επιτρέπει στους εισβολείς να αποκτούν πληροφορίες για τη δραστηριότητα των συνδρομητών, να παρακολουθούν τη συμπεριφορά των χρηστών και ενδεχομένως να προσδιορίζουν τις φυσικές τοποθεσίες των ατόμων που τους ενδιαφέρουν. Ως αποτέλεσμα, το BPFDoor λειτουργεί αποτελεσματικά ως ένα επίπεδο επιτήρησης ενσωματωμένο στην τηλεπικοινωνιακή υποδομή, παρέχοντας μακροπρόθεσμη, χαμηλού θορύβου ορατότητα σε ευαίσθητες λειτουργίες.

Επαναπροσδιορισμός της Evasion: Νέες παραλλαγές και βελτιώσεις Stealth

Μια πρόσφατα αναγνωρισμένη παραλλαγή του BPFDoor εισάγει αρχιτεκτονικές βελτιώσεις που έχουν σχεδιαστεί για να ενισχύσουν την αποφυγή και τη μακροζωία. Οι βασικές εξελίξεις περιλαμβάνουν:

  • Απόκρυψη πακέτων ενεργοποίησης εντός φαινομενικά νόμιμης κίνησης HTTPS
  • Επιβολή ενός σταθερού δείκτη μετατόπισης byte ('9999') για αξιόπιστη ανίχνευση ενεργοποίησης
  • Εισαγωγή επικοινωνίας βασισμένης σε ICMP μεταξύ μολυσμένων κεντρικών υπολογιστών για αλληλεπίδραση χαμηλού προφίλ

Αυτές οι τεχνικές επιτρέπουν στην κακόβουλη κίνηση να συνδυάζεται άψογα με την κανονική δραστηριότητα του δικτύου, μειώνοντας σημαντικά την πιθανότητα ανίχνευσης, διατηρώντας παράλληλα την αξιόπιστη εκτέλεση εντολών.

Εξελισσόμενη Εμπορική Τέχνη: Βαθύτερα στη Στοίβα

Η καμπάνια υπογραμμίζει μια ευρύτερη μετατόπιση στη μεθοδολογία των εισβολέων. Αντί να βασίζονται αποκλειστικά σε κακόβουλο λογισμικό χώρου χρήστη, οι επιτιθέμενοι ενσωματώνουν ολοένα και περισσότερο εμφυτεύματα βαθύτερα μέσα στην υπολογιστική στοίβα, ιδιαίτερα σε επίπεδο πυρήνα και υποδομής.

Τα περιβάλλοντα τηλεπικοινωνιών αποτελούν ιδιαίτερα ελκυστικούς στόχους λόγω της πολυπλοκότητάς τους, η οποία περιλαμβάνει συστήματα bare-metal, επίπεδα εικονικοποίησης, υλικό δικτύωσης υψηλής απόδοσης και βασικά στοιχεία 4G/5G σε κοντέινερ. Με την ενσωμάτωση με νόμιμες υπηρεσίες και περιβάλλοντα χρόνου εκτέλεσης, αυτά τα εμφυτεύματα μπορούν να αποφύγουν τις παραδοσιακές άμυνες τερματικών σημείων και να παραμείνουν απαρατήρητα για μεγάλα χρονικά διαστήματα.

Συμπέρασμα: Ένα νέο σύνορο στην κυβερνοκατασκοπεία

Αυτή η εκστρατεία καταδεικνύει μια σημαντική εξέλιξη στις τακτικές κυβερνοκατασκοπείας. Αξιοποιώντας την τηλεπικοινωνιακή υποδομή και τους μηχανισμούς μυστικότητας σε επίπεδο πυρήνα, οι επιτιθέμενοι επιτυγχάνουν μακροπρόθεσμη πρόσβαση χαμηλής ορατότητας σε εξαιρετικά ευαίσθητα περιβάλλοντα.

Η χρήση προηγμένων εργαλείων όπως το BPFDoor, σε συνδυασμό με καινοτόμες τεχνικές αποφυγής και βαθιά ενσωμάτωση συστημάτων, σηματοδοτεί μια αυξανόμενη πρόκληση για τους υπερασπιστές. Η ανίχνευση και ο μετριασμός τέτοιων απειλών απαιτεί βελτιωμένη ορατότητα στα χαμηλότερα επίπεδα της υπολογιστικής στοίβας και επανεξέταση των παραδοσιακών προσεγγίσεων ασφαλείας.

Τάσεις

Κακόβουλο λογισμικό τραπεζικών λογαριασμών VENON

Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια νέα εκστρατεία τραπεζικού κακόβουλου λογισμικού που στοχεύει χρήστες στη Βραζιλία. Το κακόβουλο λογισμικό, με την ονομασία VENON, σηματοδοτεί μια...

Threatcleaner.info

Απατεώνες Ιστότοποι, Πιθανώς ανεπιθύμητα προγράμματα
Οι απροσδόκητες ειδοποιήσεις ασφαλείας που εμφανίζονται σε ένα πρόγραμμα περιήγησης ιστού μπορεί να είναι ανησυχητικές, ειδικά όταν ισχυρίζονται ότι μια συσκευή έχει μολυνθεί με πολλαπλούς ιούς. Η...

Περισσότερες εμφανίσεις

Φόρτωση...