Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Vörös Menshen kémkedési kampány

Vörös Menshen kémkedési kampány

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy Kínával szövetséges fenyegető szereplőhöz köthető kitartó és rendkívül stratégiai kiberkémkedési kampány sikeresen beépült a telekommunikációs hálózatokba. A fő cél a kormányzati infrastruktúrák megfigyelése és beszivárgása a telekommunikációs környezetek átjáróként való kihasználásával.

Ez a régóta futó művelet a Red Menshen néven ismert fenyegetési klaszterhez köthető, amelyet olyan álneveken is nyomon követnek, mint az Earth Bluecrow, a DecisiveArchitect és a Red Dev 18. A csoport legalább 2021 óta következetesen célba vette a Közel-Kelet és Ázsia telekommunikációs szolgáltatóit, mélyen gyökerező és titkos hozzáférést létesítve a kritikus rendszereken belül.

Digitális alvósejtek: fejlett kitartási technikák

A biztonsági kutatók a kampányban alkalmazott hozzáférési mechanizmusokat a telekommunikációs hálózatokban valaha megfigyelt legtitkosabbak közé sorolták. Ezek a technikák digitális alvó cellákhoz hasonlóan működnek, aktiválásukig szunnyadó és észrevétlen maradnak.

A támadók a legfejlettebb eszközök és technikák kombinációjára támaszkodnak, beleértve:

  • Kernel szintű implantátumok, amelyek mélyen az operációs rendszerben működnek
  • Passzív hátsó ajtók, amelyek megkerülik a hagyományos észlelési módszereket
  • Hitelesítőadat-gyűjtő segédprogramok érzékeny hozzáférési adatok gyűjtésére
  • Platformfüggetlen parancsnoki és irányítási keretrendszerek, amelyek rugalmas műveleteket tesznek lehetővé

Ezek a képességek lehetővé teszik a fenyegető szereplő számára, hogy hosszú távon is megőrizze a támadások számát, miközben minimalizálja az észlelhető tevékenységet.

BPFDoor: A láthatatlan hátsó ajtó a kernelben

A kampány középpontjábana BPFDoor áll, egy Linux-alapú hátsó ajtó, amely a lopakodást és a kifinomultságot testesíti meg. A hagyományos rosszindulatú programokkal ellentétben ez a beültetett program nem hoz létre észlelhető hálózati indikátorokat.

A portok megnyitása vagy a látható kommunikációs csatornák fenntartása helyett a BPFDoor a Linux kernel Berkeley Packet Filter (BPF) funkcióit használja ki. Belsőleg vizsgálja a hálózati forgalmat, és csak akkor aktiválódik, ha egy speciálisan létrehozott „mágikus” csomagot kap.

Ez a kialakítás kiküszöböli az állandó figyelők vagy a beaconing tevékenység szükségességét, gyakorlatilag egy rejtett hozzáférési mechanizmust ágyazva be közvetlenül az operációs rendszerbe. Az eredmény egy gyakorlatilag láthatatlan belépési pont, amelyet rendkívül nehéz észlelni a hagyományos megfigyelőeszközökkel.

Kezdeti kompromisszum: A peremhálózati infrastruktúra kihasználása

A támadási lánc jellemzően az internetre néző rendszerek és a peremhálózati eszközök célzásával kezdődik. Ilyenek például a VPN-átjárók, tűzfalak és a webes szolgáltatások, különösen azok, amelyek a főbb vállalati technológiákhoz kapcsolódnak.

A kezdeti hozzáférés megszerzése után a támadók egy sor utólagos eszközt telepítenek az irányítás kiterjesztése érdekében. Ezek közé tartoznak olyan keretrendszerek, mint a CrossC2, valamint a Sliver, a TinyShell, a billentyűnaplózók és a brute-force segédprogramok. Ezek az eszközök együttesen lehetővé teszik a hitelesítő adatok gyűjtését, a belső felderítést és az oldalirányú mozgást a feltört környezetekben.

Kétkomponensű architektúra: vezérlés és aktiválás

A BPFDoor egy kétrészes architektúrán keresztül működik, amelyet a pontosság és a lopakodás jegyében terveztek. Az egyik komponens a feltört rendszeren található, és passzívan figyeli a bejövő forgalmat egy előre meghatározott triggercsomag után. Észleléskor egy távoli shell elindításával aktiválódik.

A második komponens egy, a támadó által üzemeltetett vezérlő. Ez a vezérlő speciálisan létrehozott csomagokat küld implantátumok aktiválására, és az áldozat környezetében is működhet. Belső telepítés esetén legitim rendszerfolyamatként álcázhatja magát, további fertőzéseket koordinálhat, és lehetővé teheti a rendszerek közötti ellenőrzött oldalirányú mozgást.

Telekommunikációs szintű megfigyelés: A hagyományos hátsó ajtókon túl

A BPFDoor bizonyos változatai olyan képességekkel rendelkeznek, amelyek túlmutatnak a hagyományos hátsó ajtó funkciókon. A Stream Control Transmission Protocol (SCTP) támogatása lehetővé teszi a telekommunikációra jellemző kommunikáció monitorozását.

Ez a képesség lehetővé teszi a támadók számára, hogy betekintést nyerjenek az előfizetői tevékenységekbe, nyomon kövessék a felhasználói viselkedést, és potenciálisan meghatározzák az adott személyek fizikai helyét. Ennek eredményeként a BPFDoor hatékonyan szolgál a telekommunikációs infrastruktúrába ágyazott megfigyelő rétegként, hosszú távú, alacsony zajszintű láthatóságot biztosítva az érzékeny műveletekbe.

Újraértelmezett kitérés: Új változatok és lopakodásfejlesztések

A BPFDoor egy újonnan azonosított változata építészeti fejlesztéseket vezet be, amelyek célja a kitérő ajtók jobb védelme és a tartósság növelése. A legfontosabb fejlesztések a következők:

  • A látszólag legitim HTTPS forgalomban elrejtett triggercsomagok
  • Fix bájt eltolásjelző ('9999') érvényesítése a megbízható aktiválásérzékelés érdekében
  • ICMP-alapú kommunikáció bevezetése fertőzött gazdagépek között az alacsony profilú interakció érdekében

Ezek a technikák lehetővé teszik, hogy a rosszindulatú forgalom zökkenőmentesen keveredjen a normál hálózati tevékenységgel, jelentősen csökkentve az észlelés valószínűségét, miközben fenntartják a megbízható parancsvégrehajtást.

A kereskedelem fejlődése: Mélyebbre a veremben

A kampány a támadási módszertan szélesebb körű elmozdulását emeli ki. Ahelyett, hogy kizárólag a felhasználói térben futó rosszindulatú programokra hagyatkoznának, a támadók egyre inkább mélyebbre építik be azokat a számítási rendszerbe, különösen a kernel és az infrastruktúra szintjén.

A telekommunikációs környezetek különösen vonzó célpontok összetettségük miatt, amelyek magukban foglalják a csupasz fém rendszereket, a virtualizációs rétegeket, a nagy teljesítményű hálózati hardvereket és a konténerizált 4G/5G központi komponenseket. A legitim szolgáltatásokkal és futásidejű környezetekkel való integráció révén ezek az implantátumok megkerülhetik a hagyományos végpontvédelmi rendszereket, és hosszú ideig észrevétlenek maradhatnak.

Konklúzió: Új határterület a kiberkémkedésben

Ez a kampány jelentős fejlődést mutat a kiberkémkedési taktikák terén. A telekommunikációs infrastruktúra és a kernel szintű lopakodó mechanizmusok kihasználásával a támadók hosszú távú, alacsony láthatóságú hozzáférést szereznek rendkívül érzékeny környezetekhez.

A BPFDoorhoz hasonló fejlett eszközök használata, az innovatív kijátszási technikákkal és a mély rendszerintegrációval kombinálva, egyre nagyobb kihívást jelent a védők számára. Az ilyen fenyegetések észlelése és enyhítése fokozott rálátást igényel a számítástechnikai rendszer alsóbb rétegeire, valamint a hagyományos biztonsági megközelítések újragondolását.

Felkapott

Legnézettebb

Betöltés...