Preventivo sconto multi-licenza
Database delle minacce Malware Campagna di spionaggio dei Red Menshen

Campagna di spionaggio dei Red Menshen

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

Una persistente e altamente strategica campagna di spionaggio informatico, legata a un gruppo di hacker filo-cinese, si è infiltrata con successo nelle reti di telecomunicazioni. L'obiettivo principale è sorvegliare e infiltrarsi nelle infrastrutture governative sfruttando gli ambienti di telecomunicazione come porta d'accesso.

Questa operazione di lunga data è attribuita al gruppo di hacker noto come Red Menshen, tracciato anche con alias quali Earth Bluecrow, DecisiveArchitect e Red Dev 18. Almeno dal 2021, il gruppo ha preso di mira sistematicamente i fornitori di servizi di telecomunicazione in Medio Oriente e Asia, stabilendo un accesso profondo e occulto all'interno di sistemi critici.

Cellule dormienti digitali: tecniche avanzate di persistenza

I ricercatori nel campo della sicurezza informatica hanno descritto i meccanismi di accesso utilizzati in questa campagna come tra i più subdoli mai osservati nelle reti di telecomunicazione. Queste tecniche funzionano come cellule dormienti digitali, rimanendo inattive e non rilevabili fino alla loro attivazione.

Gli aggressori si avvalgono di una combinazione di strumenti e tecniche altamente sofisticati, tra cui:

  • Impianti a livello di kernel che operano in profondità nel sistema operativo
  • Backdoor passive che eludono i metodi di rilevamento tradizionali
  • Utilità per la raccolta di credenziali e dati di accesso sensibili
  • Framework di comando e controllo multipiattaforma che consentono operazioni flessibili

Queste capacità consentono all'attore della minaccia di mantenere una persistenza a lungo termine riducendo al minimo l'attività rilevabile.

BPFDoor: La backdoor invisibile nel kernel

Al centro di questa campagna si trovaBPFDoor , una backdoor basata su Linux che si distingue per furtività e sofisticatezza. A differenza dei malware tradizionali, questo impianto evita di creare indicatori di rete rilevabili.

Anziché aprire porte o mantenere canali di comunicazione visibili, BPFDoor sfrutta la funzionalità del Berkeley Packet Filter (BPF) all'interno del kernel Linux. Analizza il traffico di rete internamente e si attiva solo quando riceve un pacchetto "magico" appositamente creato.

Questa soluzione elimina la necessità di listener persistenti o attività di beaconing, integrando di fatto un meccanismo di accesso nascosto direttamente nel sistema operativo. Il risultato è un punto di accesso praticamente invisibile, estremamente difficile da rilevare con i tradizionali strumenti di monitoraggio.

Compromesso iniziale: sfruttare l’infrastruttura edge

La catena di attacco in genere inizia prendendo di mira i sistemi e i dispositivi periferici esposti a Internet. Questi includono gateway VPN, firewall e servizi web, in particolare quelli associati alle principali tecnologie aziendali.

Una volta ottenuto l'accesso iniziale, gli aggressori utilizzano una serie di strumenti post-sfruttamento per estendere il proprio controllo. Questi includono framework come CrossC2, insieme a Sliver, TinyShell, keylogger e utility di forza bruta. Insieme, questi strumenti consentono la raccolta di credenziali, la ricognizione interna e la mobilità laterale tra ambienti compromessi.

Architettura a doppio componente: controllo e attivazione

BPFDoor opera attraverso un'architettura a due componenti progettata per precisione e furtività. Un componente risiede sul sistema compromesso, monitorando passivamente il traffico in entrata alla ricerca di un pacchetto di attivazione predefinito. Una volta rilevato, si attiva avviando una shell remota.

Il secondo componente è un controller gestito dall'attaccante. Questo controller invia pacchetti appositamente creati per attivare gli impianti e può anche operare all'interno dell'ambiente della vittima. Se installato internamente, può mascherarsi da processi di sistema legittimi, coordinare ulteriori infezioni e facilitare il movimento laterale controllato tra i sistemi.

Sorveglianza a livello di telecomunicazioni: oltre le tradizionali backdoor

Alcune varianti di BPFDoor dimostrano capacità che vanno oltre le normali funzionalità di backdoor. Il supporto per il protocollo SCTP (Stream Control Transmission Protocol) consente il monitoraggio delle comunicazioni specifiche delle telecomunicazioni.

Questa funzionalità consente agli aggressori di ottenere informazioni sull'attività degli abbonati, tracciare il comportamento degli utenti e potenzialmente determinare la posizione fisica di individui di interesse. Di conseguenza, BPFDoor funge efficacemente da livello di sorveglianza integrato nell'infrastruttura di telecomunicazioni, fornendo visibilità a lungo termine e a basso rumore sulle operazioni sensibili.

L’evasione reinventata: nuove varianti e miglioramenti alla furtività

Una variante di BPFDoor recentemente identificata introduce miglioramenti architettonici progettati per aumentare la capacità di elusione e la durata. I principali progressi includono:

  • Occultamento dei pacchetti di attivazione all'interno di un traffico HTTPS apparentemente legittimo.
  • Applicazione di un marcatore di offset di byte fisso ('9999') per un rilevamento affidabile dell'attivazione
  • Introduzione della comunicazione basata su ICMP tra host infetti per un'interazione discreta.

Queste tecniche consentono al traffico dannoso di mimetizzarsi perfettamente con la normale attività di rete, riducendo significativamente la probabilità di rilevamento pur mantenendo un'esecuzione affidabile dei comandi.

L’evoluzione delle tecniche di trading: addentrandosi nella pila

La campagna mette in luce un cambiamento più ampio nella metodologia degli aggressori. Invece di affidarsi esclusivamente a malware nello spazio utente, gli avversari stanno integrando sempre più spesso gli impianti in profondità nello stack di elaborazione, in particolare a livello di kernel e infrastruttura.

Gli ambienti di telecomunicazione sono obiettivi particolarmente attraenti a causa della loro complessità, che include sistemi bare-metal, livelli di virtualizzazione, hardware di rete ad alte prestazioni e componenti core 4G/5G containerizzati. Integrandosi con servizi e ambienti di runtime legittimi, questi malware possono eludere le tradizionali difese degli endpoint e persistere inosservati per lunghi periodi.

Conclusione: una nuova frontiera nello spionaggio informatico

Questa campagna dimostra una significativa evoluzione nelle tattiche di spionaggio informatico. Sfruttando le infrastrutture di telecomunicazione e i meccanismi di occultamento a livello di kernel, gli aggressori ottengono un accesso a lungo termine e poco visibile ad ambienti altamente sensibili.

L'utilizzo di strumenti avanzati come BPFDoor, combinato con tecniche di elusione innovative e una profonda integrazione di sistema, rappresenta una sfida crescente per i difensori. Rilevare e mitigare tali minacce richiede una maggiore visibilità sui livelli inferiori dello stack informatico e un ripensamento degli approcci di sicurezza tradizionali.

Tendenza

I più visti

Caricamento in corso...