Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma Punaisen Menshenin vakoilukampanja

Punaisen Menshenin vakoilukampanja

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT)
Käännä:

Kiinan kanssa liittoutuneeseen uhkatoimijaan kytköksissä oleva itsepintainen ja erittäin strateginen kybervakoilukampanja on onnistuneesti juurtunut televiestintäverkkoihin. Ensisijaisena tavoitteena on valvoa ja soluttautua hallinnon infrastruktuuriin hyödyntämällä televiestintäympäristöjä yhdyskäytävänä.

Tämä pitkäaikainen operaatio liitetään uhkaryppääseen nimeltä Red Menshen, jota seurataan myös salanimillä, kuten Earth Bluecrow, DecisiveArchitect ja Red Dev 18. Ryhmä on ainakin vuodesta 2021 lähtien johdonmukaisesti kohdistanut iskujaan teleoperaattoreihin Lähi-idässä ja Aasiassa ja luonut syvälle juurtuneen ja salaisen pääsyn kriittisiin järjestelmiin.

Digitaaliset nukkujasolut: Edistyneet pysyvyystekniikat

Tietoturvatutkijat ovat luonnehtineet tässä kampanjassa käytettyjä käyttömekanismeja yhdeksi salaisimmista, mitä koskaan on havaittu televerkoissa. Nämä tekniikat toimivat kuten digitaaliset nukkuvat solut, jotka pysyvät lepotilassa ja huomaamattomina, kunnes ne aktivoidaan.

Hyökkääjät käyttävät yhdistelmää erittäin kehittyneitä työkaluja ja tekniikoita, mukaan lukien:

  • Ytimen tason implantit, jotka toimivat syvällä käyttöjärjestelmässä
  • Passiiviset takaportit, jotka välttävät perinteisiä havaitsemismenetelmiä
  • Tunnistetietojen keruuapuohjelmat arkaluonteisten käyttöoikeustietojen keräämiseen
  • Eri alustojen väliset komento- ja ohjauskehykset, jotka mahdollistavat joustavat operaatiot

Näiden ominaisuuksien avulla uhkatoimija voi ylläpitää pitkäaikaista pysyvyyttä ja samalla minimoida havaittavaa toimintaa.

BPFDoor: Ytimen näkymätön takaovi

Tämän kampanjan keskiössä onBPFDoor , Linux-pohjainen takaovi, joka on esimerkki hiiviskelystä ja hienostuneisuudesta. Toisin kuin perinteiset haittaohjelmat, tämä implantti välttää havaittavien verkkoindikaattoreiden luomisen.

Porttien avaamisen tai näkyvien tietoliikennekanavien ylläpitämisen sijaan BPFDoor hyödyntää Linux-ytimen Berkeley Packet Filter (BPF) -toimintoa. Se tarkastaa verkkoliikenteen sisäisesti ja aktivoituu vain vastaanotettuaan erityisesti muodostetun "taikapaketin".

Tämä rakenne poistaa jatkuvan kuuntelijan tai jäljitystoiminnan tarpeen ja upottaa piilotetun käyttömekanismin suoraan käyttöjärjestelmään. Tuloksena on käytännössä näkymätön sisäänpääsykohta, jota on erittäin vaikea havaita perinteisillä valvontatyökaluilla.

Alkuperäinen kompromissi: Reunainfrastruktuurin hyödyntäminen

Hyökkäysketju alkaa tyypillisesti kohdistamalla hyökkäykset internetiin yhdistettyihin järjestelmiin ja reunalaitteisiin. Näitä ovat VPN-yhdyskäytävät, palomuurit ja verkkoon yhdistetyt palvelut, erityisesti ne, jotka liittyvät suuriin yritysteknologioihin.

Kun hyökkääjät ovat saaneet alkupääsyn, he ottavat käyttöön joukon hyväksikäytön jälkeisiä työkaluja laajentaakseen hallintaansa. Näihin kuuluvat esimerkiksi CrossC2:n kaltaiset kehykset sekä Sliver, TinyShell, näppäinpainallusten tallentajat ja brute force -apuohjelmat. Yhdessä nämä työkalut mahdollistavat tunnistetietojen keräämisen, sisäisen tiedustelun ja sivuttaisen liikkumisen vaarantuneissa ympäristöissä.

Kaksikomponenttinen arkkitehtuuri: Ohjaus ja aktivointi

BPFDoor toimii kaksiosaisen arkkitehtuurin avulla, joka on suunniteltu tarkkuutta ja huomaamattomuutta silmällä pitäen. Toinen komponentti sijaitsee vaarantuneessa järjestelmässä ja valvoo passiivisesti saapuvaa liikennettä ennalta määritetyn trigger-paketin varalta. Havaittuaan sen se aktivoituu luomalla etäkäyttöliittymän.

Toinen komponentti on hyökkääjän käyttämä ohjain. Tämä ohjain lähettää erityisesti muotoiltuja paketteja implanttien aktivoimiseksi ja voi toimia myös uhrin ympäristössä. Sisäisesti käytettynä se voi naamioida itsensä laillisiksi järjestelmäprosesseiksi, koordinoida lisätartuntoja ja helpottaa hallittua sivuttaisliikettä järjestelmien välillä.

Televiestintätason valvonta: Perinteisten takaporttien tuolla puolen

Tietyt BPFDoorin muunnelmat tarjoavat ominaisuuksia, jotka ulottuvat tavallisten takaporttitoimintojen ulkopuolelle. Stream Control Transmission Protocol (SCTP) -tuki mahdollistaa televiestinnän erityisten tietoliikenneyhteyksien valvonnan.

Tämän ominaisuuden avulla hyökkääjät voivat saada tietoa tilaajien toiminnasta, seurata käyttäjien käyttäytymistä ja mahdollisesti määrittää kiinnostuksen kohteena olevien henkilöiden fyysisen sijainnin. Tämän seurauksena BPFDoor toimii tehokkaasti tietoliikenneinfrastruktuuriin upotettuna valvontakerroksena, joka tarjoaa pitkäaikaisen ja hiljaisen näkyvyyden arkaluonteisiin toimintoihin.

Väistö uudelleen keksitty: Uusia variantteja ja hiiviskelyparannuksia

BPFDoor-oven uusi versio esittelee arkkitehtonisia parannuksia, jotka on suunniteltu parantamaan väistämistä ja kestävyyttä. Keskeisiä edistysaskeleita ovat:

  • Liipaisupakettien piilottaminen näennäisesti laillisen HTTPS-liikenteen sisään
  • Kiinteän tavusiirtymämerkin ('9999') käyttöönotto luotettavaa aktivoinnin havaitsemista varten
  • ICMP-pohjaisen kommunikaation esittely tartunnan saaneiden isäntien välillä matalan profiilin vuorovaikutusta varten

Nämä tekniikat mahdollistavat haitallisen liikenteen sulautumisen saumattomasti normaaliin verkkotoimintaan, mikä vähentää merkittävästi havaitsemisen todennäköisyyttä ja ylläpitää samalla luotettavaa komentojen suorittamista.

Kehittyvä kaupankäynti: Syvemmälle pinoon

Kampanja korostaa laajempaa muutosta hyökkääjien menetelmissä. Sen sijaan, että hyökkääjät luottaisivat pelkästään käyttäjäympäristössä oleviin haittaohjelmiin, he upottavat yhä enemmän implantteja syvemmälle laskentapinoon, erityisesti ytimen ja infrastruktuurin tasoille.

Televiestintäympäristöt ovat erityisen houkuttelevia kohteita monimutkaisuutensa vuoksi, mukaan lukien paljasmetallijärjestelmät, virtualisointikerrokset, tehokkaat verkkolaitteet ja konttipohjaiset 4G/5G-ydinkomponentit. Integroimalla laillisiin palveluihin ja suoritusaikaisiin ympäristöihin nämä implantit voivat kiertää perinteiset päätepisteiden puolustuskeinot ja pysyä huomaamattomina pitkiä aikoja.

Johtopäätös: Uusi rajaseutu kybervakoilussa

Tämä kampanja osoittaa merkittävää kehitystä kybervakoilutaktiikoissa. Hyödyntämällä tietoliikenneinfrastruktuuria ja ydintason häivemekanismeja hyökkääjät saavuttavat pitkäaikaisen ja huomaamattoman pääsyn erittäin arkaluonteisiin ympäristöihin.

Edistyneiden työkalujen, kuten BPFDoorin, käyttö yhdistettynä innovatiivisiin väistötekniikoihin ja syvään järjestelmäintegraatioon on kasvava haaste puolustajille. Tällaisten uhkien havaitseminen ja lieventäminen edellyttää parempaa näkyvyyttä laskentapinon alempiin tasoihin ja perinteisten tietoturvalähestymistapojen uudelleenarviointia.

Trendaavat

Eniten katsottu

Ladataan...