Punaste Mensheni spionaažikampaania
Hiina toetatava ohuüksusega seotud püsiv ja väga strateegiline küberspionaažikampaania on edukalt kinnistunud telekommunikatsioonivõrkudesse. Peamine eesmärk on jälgida ja tungida valitsusega seotud infrastruktuuri, kasutades telekommunikatsioonikeskkondi väravana.
See pikaajaline operatsioon omistatakse ohuklastrile nimega Red Menshen, mida jälgitakse ka varjunimede Earth Bluecrow, DecisiveArchitect ja Red Dev 18 all. Vähemalt alates 2021. aastast on rühmitus järjepidevalt sihikule võtnud telekommunikatsiooniteenuse pakkujaid kogu Lähis-Idas ja Aasias, luues sügavale juurdunud ja varjatud juurdepääsu kriitilistesse süsteemidesse.
Sisukord
Digitaalsed magavad rakud: täiustatud püsivuse tehnikad
Turvauurijad on iseloomustanud selles kampaanias kasutatud ligipääsumehhanisme kui üht kõige varjatumat, mida telekommunikatsioonivõrkudes kunagi nähtud. Need tehnikad toimivad nagu digitaalsed uinunud rakud, jäädes passiivseteks ja avastamata kuni aktiveerimiseni.
Ründajad tuginevad mitmetele ülitäpsetele tööriistadele ja tehnikatele, sealhulgas:
- Tuuma tasemel implantaadid, mis toimivad sügaval operatsioonisüsteemis
- Passiivsed tagauksed, mis väldivad traditsioonilisi tuvastusmeetodeid
- Tundlike juurdepääsuandmete kogumise utiliidid
- Platvormideülesed juhtimis- ja kontrolliraamistikud, mis võimaldavad paindlikke operatsioone
Need võimalused võimaldavad ohutegijal säilitada pikaajalist püsivust, minimeerides samal ajal tuvastatavat tegevust.
BPFDoor: Nähtamatu tagauks kernelis
Selle kampaania keskmes onBPFDoor , Linuxi-põhine tagauks, mis on salajaste ja keerukate lahenduste näide. Erinevalt traditsioonilisest pahavarast väldib see implantaat tuvastatavate võrguindikaatorite loomist.
Portide avamise või nähtavate sidekanalite säilitamise asemel kasutab BPFDoor Linuxi kernelis olevat Berkeley paketifiltri (BPF) funktsionaalsust. See kontrollib võrguliiklust sisemiselt ja aktiveerub ainult siis, kui saab spetsiaalselt loodud "maagilise" paketi.
See disain välistab vajaduse püsivate kuulajate või märguannete järele, manustades peidetud juurdepääsumehhanismi otse operatsioonisüsteemi. Tulemuseks on praktiliselt nähtamatu sisenemispunkt, mida on tavapäraste jälgimisvahenditega äärmiselt raske tuvastada.
Esialgne kompromiss: servainfrastruktuuri ärakasutamine
Rünnakuahel algab tavaliselt internetipõhiste süsteemide ja servaseadmete sihtimisega. Nende hulka kuuluvad VPN-lüüsid, tulemüürid ja veebipõhised teenused, eriti need, mis on seotud suuremate ettevõttetehnoloogiatega.
Kui esmane juurdepääs on saavutatud, juurutavad ründajad oma kontrolli laiendamiseks hulga järelkontrolli tööriistu. Nende hulka kuuluvad raamistikud nagu CrossC2, koos Sliveri, TinyShelli, klahvilogijate ja brute-force utiliitidega. Koos võimaldavad need tööriistad mandaatide kogumist, sisemist luuret ja külgmist liikumist ohustatud keskkondades.
Kahekomponendiline arhitektuur: juhtimine ja aktiveerimine
BPFDoor toimib kaheosalise arhitektuuri abil, mis on loodud täpsuse ja varjatuse tagamiseks. Üks komponent asub ohustatud süsteemis, jälgides passiivselt sissetulevat liiklust etteantud käivituspaketi suhtes. Tuvastamisel aktiveerub see, käivitades kaugkoore.
Teine komponent on ründaja hallatav kontroller. See kontroller saadab spetsiaalselt loodud pakette implantaatide aktiveerimiseks ja saab toimida ka ohvri keskkonnas. Sisemiselt juurutatuna saab see end varjata legitiimsete süsteemiprotsessidena, koordineerida täiendavaid nakkusi ja hõlbustada kontrollitud liikumist süsteemide vahel.
Telekommunikatsioonitaseme jälgimine: traditsioonilistest tagaustest kaugemale
Teatud BPFDoori variandid pakuvad võimalusi, mis ulatuvad tavapärasest tagaukse funktsionaalsusest kaugemale. Voo juhtimise edastusprotokolli (SCTP) tugi võimaldab jälgida telekommunikatsioonispetsiifilist sidet.
See võimekus võimaldab ründajatel saada ülevaate abonentide tegevusest, jälgida kasutajate käitumist ja potentsiaalselt määrata huvipakkuvate isikute füüsilist asukohta. Selle tulemusena toimib BPFDoor tõhusalt telekommunikatsiooniinfrastruktuuri integreeritud jälgimiskihina, pakkudes pikaajalist ja vähese müraga nähtavust tundlikesse toimingutesse.
Evasion Reinvented: uued variandid ja vargsi täiustused
BPFDoori äsja tuvastatud variant sisaldab arhitektuurilisi täiustusi, mis on loodud vältimise ja pikaealisuse parandamiseks. Peamised edusammud on järgmised:
- Päästikupakettide peitmine näiliselt õigustatud HTTPS-liikluse sees
- Fikseeritud baidi nihkemarkeri ('9999') jõustamine usaldusväärse aktiveerimise tuvastamise tagamiseks
- ICMP-põhise suhtluse tutvustamine nakatunud hostide vahel madala profiiliga suhtluse tagamiseks
Need tehnikad võimaldavad pahatahtlikul liiklusel sujuvalt sulanduda tavapärase võrgutegevusega, vähendades oluliselt avastamise tõenäosust, säilitades samal ajal usaldusväärse käskude täitmise.
Arenev kaubandustehnika: sügavamale virna
Kampaania toob esile ründajate metoodika laiema muutuse. Selle asemel, et toetuda üksnes kasutajaruumi pahavarale, paigutavad vastased implantaate üha enam sügavamale arvutuspinu, eriti kerneli ja infrastruktuuri tasemele.
Telekommunikatsioonikeskkonnad on oma keerukuse tõttu eriti atraktiivsed sihtmärgid, mis hõlmavad paljasmetalli süsteeme, virtualiseerimiskihte, suure jõudlusega võrguriistvara ja konteinerdatud 4G/5G põhikomponente. Integreerudes legitiimsete teenuste ja käituskeskkondadega, saavad need implantaadid mööda hiilida traditsioonilistest lõpp-punkti kaitsemehhanismidest ja püsida avastamata pikka aega.
Kokkuvõte: küberspionaaži uus piir
See kampaania näitab küberspionaaži taktika olulist arengut. Telekommunikatsiooniinfrastruktuuri ja kerneli tasemel varjamismehhanismide abil saavutavad ründajad pikaajalise ja märkamatu juurdepääsu väga tundlikele keskkondadele.
Täiustatud tööriistade, näiteks BPFDoori, kasutamine koos uuenduslike rünnakute vältimise tehnikate ja sügava süsteemiintegratsiooniga annab märku kaitsjate jaoks kasvavast väljakutsest. Selliste ohtude tuvastamine ja leevendamine nõuab paremat nähtavust arvutipinu alumistesse kihtidesse ja traditsiooniliste turvastrateegiate ümbermõtestamist.
