קמפיין הריגול של המנשן האדום
קמפיין ריגול סייבר מתמשך ואסטרטגי ביותר, המקושר לגורם איום המזוהה עם סין, הצליח להטמיע את עצמו ברשתות התקשורת. המטרה העיקרית היא לנטר ולחדור לתשתיות ממשלתיות על ידי מינוף סביבות תקשורת כשער גישה.
מבצע ארוך שנים זה מיוחס לאשכול האיומים המכונה Red Menshen, שעוקב גם תחת שמות בדויים כמו Earth Bluecrow, DecisiveArchitect ו-Red Dev 18. מאז 2021 לפחות, הקבוצה כיוונה באופן עקבי לספקי תקשורת ברחבי המזרח התיכון ואסיה, תוך יצירת גישה עמוקה וסמויה למערכות קריטיות.
תוכן העניינים
תאי רדום דיגיטליים: טכניקות התמדה מתקדמות
חוקרי אבטחה אפיינו את מנגנוני הגישה ששימשו בקמפיין זה כאחד הסמויים ביותר שנצפו אי פעם ברשתות תקשורת. טכניקות אלו מתפקדות כמו תאים דיגיטליים רדומים, נותרות רדומות ובלתי מזוהות עד להפעלתן.
התוקפים מסתמכים על שילוב של כלים וטכניקות מתקדמות ביותר, כולל:
- שתלים ברמת הליבה הפועלים עמוק בתוך מערכת ההפעלה
- דלתות אחוריות פסיביות הנמנעות משיטות גילוי מסורתיות
- כלי עזר לאיסוף אישורים לאיסוף נתוני גישה רגישים
- מסגרות פיקוד ובקרה חוצות פלטפורמות המאפשרות פעולות גמישות
יכולות אלו מאפשרות לגורם האיום לשמור על התמדה ארוכת טווח תוך מזעור פעילות ניתנת לזיהוי.
BPFDoor: הדלת האחורית הבלתי נראית בליבת המערכת
במרכז הקמפיין הזה נמצאתBPFDoor , דלת אחורית מבוססת לינוקס המדגימה חמקנות ותחכום. בניגוד לתוכנות זדוניות מסורתיות, שתל זה נמנע מיצירת אינדיקטורים רשתיים ניתנים לזיהוי.
במקום לפתוח פורטים או לשמור על ערוצי תקשורת גלויים, BPFDoor מנצל את פונקציונליות מסנן חבילות Berkeley Packet Filter (BPF) בתוך ליבת לינוקס. הוא בודק את תעבורת הרשת באופן פנימי ומופעל רק כאשר הוא מקבל חבילת "קסם" שנוצרה במיוחד.
עיצוב זה מבטל את הצורך במאזינים מתמידים או בפעילות משואות, ומטמיע למעשה מנגנון גישה נסתר ישירות במערכת ההפעלה. התוצאה היא נקודת כניסה כמעט בלתי נראית שקשה מאוד לזהות באמצעות כלי ניטור קונבנציונליים.
פשרה ראשונית: ניצול תשתית קצה
שרשרת התקיפה מתחילה בדרך כלל במיקוד במערכות הפונות לאינטרנט ובמכשירי קצה. אלה כוללים שערי VPN, חומות אש ושירותים הפונים לאינטרנט, במיוחד אלו הקשורים לטכנולוגיות ארגוניות מרכזיות.
לאחר השגת גישה ראשונית, התוקפים פורסים חבילה של כלים לאחר ניצול הפריצה כדי להרחיב את שליטתם. אלה כוללים מסגרות כמו CrossC2, יחד עם Sliver, TinyShell, keyloggers ותוכניות שירות Brute-Force. יחד, כלים אלה מאפשרים קצירת אישורים, סיור פנימי ותנועה רוחבית על פני סביבות פרוצות.
ארכיטקטורה דו-רכיבית: בקרה והפעלה
BPFDoor פועל באמצעות ארכיטקטורה דו-חלקית שנועדה לדיוק וחשאיות. רכיב אחד נמצא במערכת הפגועה, ומנטר באופן פסיבי תעבורה נכנסת עבור חבילת טריגר מוגדרת מראש. עם הזיהוי, הוא מופעל על ידי יצירת מעטפת מרוחקת.
הרכיב השני הוא בקר המופעל על ידי התוקף. בקר זה שולח חבילות מיוחדות להפעלת שתלים ויכול גם לתפקד בסביבת הקורבן. כאשר הוא נפרס באופן פנימי, הוא יכול להסוות את עצמו כתהליכי מערכת לגיטימיים, לתאם הדבקות נוספות ולהקל על תנועה רוחבית מבוקרת בין מערכות.
מעקב ברמת הטלקום: מעבר לדלתות אחוריות מסורתיות
גרסאות מסוימות של BPFDoor מדגימות יכולות החורגות מעבר לפונקציונליות סטנדרטית של דלת אחורית. תמיכה בפרוטוקול בקרת שידור זרם (SCTP) מאפשרת ניטור של תקשורת ספציפית לתקשורת.
יכולת זו מאפשרת לתוקפים לקבל תובנות לגבי פעילות מנויים, לעקוב אחר התנהגות משתמשים ואולי לקבוע את המיקומים הפיזיים של אנשים מעניינים. כתוצאה מכך, BPFDoor משמש ביעילות כשכבת מעקב המוטמעת בתשתית התקשורת, ומספקת נראות ארוכת טווח וברעש נמוך לפעולות רגישות.
התחמקות הומצאה מחדש: גרסאות חדשות ושיפורים חמקניים
גרסה חדשה של BPFDoor שזוהה מציגה שיפורים אדריכליים שנועדו לשפר את ההתחמקות ואת אורך החיים. התקדמות עיקרית כוללת:
- הסתרת חבילות טריגר בתוך תעבורת HTTPS שנראית לגיטימית
- אכיפת סמן קיזוז בייט קבוע ('9999') לגילוי הפעלה אמין
- הצגת תקשורת מבוססת ICMP בין מארחים נגועים לאינטראקציה בפרופיל נמוך
טכניקות אלו מאפשרות לתעבורה זדונית להשתלב בצורה חלקה עם פעילות רשת רגילה, ובכך להפחית משמעותית את הסבירות לגילוי תוך שמירה על ביצוע פקודות אמין.
מסחר מתפתח: עמוק יותר לתוך הערימה
הקמפיין מדגיש שינוי רחב יותר במתודולוגיה של התוקפים. במקום להסתמך אך ורק על תוכנות זדוניות במרחב המשתמש, יריבים מטמיעים יותר ויותר תוכנות זדוניות עמוק יותר בתוך מחסנית המחשוב, במיוחד ברמות הליבה והתשתית.
סביבות טלקום הן מטרות אטרקטיביות במיוחד בשל מורכבותן, הכוללת מערכות Bare Metal, שכבות וירטואליזציה, חומרת רשת בעלת ביצועים גבוהים ורכיבי ליבה של 4G/5G במכולות. על ידי שילוב עם שירותים לגיטימיים וסביבות זמן ריצה, שתלים אלה יכולים להתחמק מהגנות מסורתיות של נקודות קצה ולהישאר מבלי להתגלות למשך תקופות ממושכות.
סיכום: חזית חדשה בריגול קיברנטי
קמפיין זה מדגים התפתחות משמעותית בטקטיקות ריגול קיברנטי. על ידי מינוף תשתית טלקום ומנגנוני התגנבות ברמת הליבה, תוקפים משיגים גישה ארוכת טווח ובעלת נראות נמוכה לסביבות רגישות ביותר.
השימוש בכלים מתקדמים כמו BPFDoor, בשילוב עם טכניקות התחמקות חדשניות ואינטגרציה עמוקה של המערכת, מאותת על אתגר הולך וגובר עבור מגיני אבטחה. זיהוי וטיפול באיומים כאלה דורשים נראות משופרת לשכבות התחתונות של מחסנית המחשוב וחשיבה מחודשת על גישות אבטחה מסורתיות.
