យុទ្ធនាការចារកម្មរបស់មេនសិនក្រហម
យុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដ៏យូរអង្វែង និងមានយុទ្ធសាស្ត្រខ្ពស់ ដែលភ្ជាប់ទៅនឹងភ្នាក់ងារគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន បានបង្កប់ខ្លួនដោយជោគជ័យនៅក្នុងបណ្តាញទូរគមនាគមន៍។ គោលបំណងចម្បងគឺដើម្បីឃ្លាំមើល និងជ្រៀតចូលហេដ្ឋារចនាសម្ព័ន្ធដែលទាក់ទងនឹងរដ្ឋាភិបាល ដោយទាញយកអត្ថប្រយោជន៍ពីបរិស្ថានទូរគមនាគមន៍ជាច្រកផ្លូវ។
ប្រតិបត្តិការដ៏យូរអង្វែងនេះត្រូវបានសន្មតថាជារបស់ក្រុមគំរាមកំហែងដែលគេស្គាល់ថាជា Red Menshen ដែលក៏ត្រូវបានតាមដានក្រោមឈ្មោះក្លែងក្លាយដូចជា Earth Bluecrow, DecisiveArchitect និង Red Dev 18។ ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2021 មក ក្រុមនេះបានកំណត់គោលដៅជាប់លាប់ទៅលើអ្នកផ្តល់សេវាទូរគមនាគមន៍នៅទូទាំងមជ្ឈិមបូព៌ា និងអាស៊ី ដោយបង្កើតការចូលប្រើសម្ងាត់ និងជ្រៅជ្រះនៅក្នុងប្រព័ន្ធសំខាន់ៗ។
តារាងមាតិកា
កោសិកាគេងឌីជីថល៖ បច្ចេកទេសតស៊ូកម្រិតខ្ពស់
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់លក្ខណៈយន្តការចូលប្រើដែលប្រើក្នុងយុទ្ធនាការនេះថាជាយន្តការសម្ងាត់បំផុតដែលមិនធ្លាប់មាននៅក្នុងបណ្តាញទូរគមនាគមន៍។ បច្ចេកទេសទាំងនេះដំណើរការដូចជាកោសិកាដេកឌីជីថល ដែលនៅតែអសកម្ម និងមិនត្រូវបានរកឃើញរហូតដល់ធ្វើឱ្យសកម្ម។
អ្នកវាយប្រហារពឹងផ្អែកលើការរួមបញ្ចូលគ្នានៃឧបករណ៍ និងបច្ចេកទេសកម្រិតខ្ពស់ រួមមាន៖
- ការផ្សាំកម្រិតខឺណែលដែលដំណើរការជ្រៅនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ
- ទ្វារក្រោយអកម្មដែលជៀសវាងវិធីសាស្ត្ររកឃើញបែបប្រពៃណី
- ឧបករណ៍ប្រើប្រាស់សម្រាប់ប្រមូលទិន្នន័យចូលប្រើដ៏រសើប
- ក្របខ័ណ្ឌបញ្ជា និងត្រួតពិនិត្យឆ្លងវេទិកាដែលអាចឱ្យប្រតិបត្តិការអាចបត់បែនបាន
សមត្ថភាពទាំងនេះអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងរក្សាបាននូវស្ថេរភាពរយៈពេលវែង ខណៈពេលដែលកាត់បន្ថយសកម្មភាពដែលអាចរកឃើញ។
BPFDoor: ច្រកចូលខាងក្រោយដែលមើលមិនឃើញនៅក្នុងខឺណែល
នៅចំកណ្តាលនៃយុទ្ធនាការនេះគឺBPFDoor ដែលជា backdoor ដែលមានមូលដ្ឋានលើ Linux ដែលបង្ហាញពីការលួចលាក់ និងភាពទំនើប។ មិនដូចមេរោគប្រពៃណីទេ ការបង្កប់នេះជៀសវាងការបង្កើតសូចនាករបណ្តាញដែលអាចរកឃើញ។
ជំនួសឲ្យការបើកច្រក ឬរក្សាបណ្តាញទំនាក់ទំនងដែលអាចមើលឃើញ BPFDoor ទាញយកប្រយោជន៍ពីមុខងារ Berkeley Packet Filter (BPF) នៅក្នុងខឺណែល Linux។ វាត្រួតពិនិត្យចរាចរណ៍បណ្តាញជាលក្ខណៈផ្ទៃក្នុង ហើយធ្វើឲ្យសកម្មតែនៅពេលដែលវាទទួលបានកញ្ចប់ 'វេទមន្ត' ដែលបង្កើតឡើងជាពិសេស។
ការរចនានេះលុបបំបាត់តម្រូវការសម្រាប់អ្នកស្តាប់ជាប់លាប់ ឬសកម្មភាពបញ្ជូនសញ្ញា ដោយបង្កប់យន្តការចូលប្រើដែលលាក់ទុកដោយផ្ទាល់ទៅក្នុងប្រព័ន្ធប្រតិបត្តិការ។ លទ្ធផលគឺជាចំណុចចូលដែលមើលមិនឃើញ ដែលពិបាករកឃើញខ្លាំងណាស់តាមរយៈឧបករណ៍ត្រួតពិនិត្យធម្មតា។
ការសម្របសម្រួលដំបូង៖ ការកេងប្រវ័ញ្ចហេដ្ឋារចនាសម្ព័ន្ធគែម
ខ្សែសង្វាក់វាយប្រហារជាធម្មតាចាប់ផ្តើមដោយការកំណត់គោលដៅប្រព័ន្ធដែលប្រឈមមុខនឹងអ៊ីនធឺណិត និងឧបករណ៍គែម។ ទាំងនេះរួមមានច្រកទ្វារ VPN ជញ្ជាំងភ្លើង និងសេវាកម្មដែលប្រឈមមុខនឹងគេហទំព័រ ជាពិសេសសេវាកម្មដែលទាក់ទងនឹងបច្ចេកវិទ្យាសហគ្រាសសំខាន់ៗ។
នៅពេលដែលការចូលប្រើដំបូងត្រូវបានសម្រេច អ្នកវាយប្រហារដាក់ពង្រាយឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចដើម្បីពង្រីកការគ្រប់គ្រងរបស់ពួកគេ។ ទាំងនេះរួមមានក្របខ័ណ្ឌដូចជា CrossC2 រួមជាមួយ Sliver, TinyShell, keyloggers និងឧបករណ៍ប្រើប្រាស់ brute-force។ ឧបករណ៍ទាំងនេះរួមគ្នាអាចឱ្យមានការប្រមូលផលប័ត្រ ការឈ្លបយកការណ៍ផ្ទៃក្នុង និងចលនាចំហៀងឆ្លងកាត់បរិស្ថានដែលរងការសម្របសម្រួល។
ស្ថាបត្យកម្មសមាសធាតុពីរ៖ ការគ្រប់គ្រង និងការធ្វើឱ្យសកម្ម
BPFDoor ដំណើរការតាមរយៈស្ថាបត្យកម្មពីរផ្នែកដែលត្រូវបានរចនាឡើងសម្រាប់ភាពជាក់លាក់ និងការលួចលាក់។ សមាសធាតុមួយស្ថិតនៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល ដោយត្រួតពិនិត្យចរាចរណ៍ចូលដោយអកម្មសម្រាប់កញ្ចប់បង្កដែលបានកំណត់ជាមុន។ នៅពេលរកឃើញ វាធ្វើឱ្យសកម្មដោយបង្កើតសែលពីចម្ងាយ។
សមាសធាតុទីពីរគឺជាឧបករណ៍បញ្ជាដែលដំណើរការដោយអ្នកវាយប្រហារ។ ឧបករណ៍បញ្ជានេះផ្ញើកញ្ចប់ដែលបង្កើតឡើងជាពិសេសដើម្បីធ្វើឱ្យសកម្មនូវការផ្សាំ ហើយក៏អាចដំណើរការនៅក្នុងបរិស្ថានរបស់ជនរងគ្រោះផងដែរ។ នៅពេលដាក់ពង្រាយនៅខាងក្នុង វាអាចក្លែងខ្លួនវាជាដំណើរការប្រព័ន្ធស្របច្បាប់ សម្របសម្រួលការឆ្លងមេរោគបន្ថែម និងសម្រួលដល់ចលនាចំហៀងដែលគ្រប់គ្រងរវាងប្រព័ន្ធ។
ការឃ្លាំមើលកម្រិតទូរគមនាគមន៍៖ លើសពីទ្វារក្រោយបែបប្រពៃណី
វ៉ារ្យ៉ង់មួយចំនួនរបស់ BPFDoor បង្ហាញពីសមត្ថភាពដែលលើសពីមុខងារ Backdoor ស្តង់ដារ។ ការគាំទ្រសម្រាប់ Stream Control Transmission Protocol (SCTP) អាចឱ្យមានការតាមដានការទំនាក់ទំនងជាក់លាក់តាមទូរគមនាគមន៍។
សមត្ថភាពនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានការយល់ដឹងអំពីសកម្មភាពរបស់អ្នកជាវ តាមដានឥរិយាបថរបស់អ្នកប្រើប្រាស់ និងអាចកំណត់ទីតាំងរូបវន្តរបស់បុគ្គលដែលចាប់អារម្មណ៍។ ជាលទ្ធផល BPFDoor ដើរតួយ៉ាងមានប្រសិទ្ធភាពជាស្រទាប់ឃ្លាំមើលដែលបានបង្កប់នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធទូរគមនាគមន៍ ដោយផ្តល់នូវភាពមើលឃើញរយៈពេលវែង និងមានសំឡេងរំខានទាបទៅក្នុងប្រតិបត្តិការដ៏រសើប។
ការគេចវេសត្រូវបានបង្កើតឡើងវិញ៖ បំរែបំរួលថ្មី និងការបង្កើនសមត្ថភាពលាក់ខ្លួន
វ៉ារ្យ៉ង់ថ្មីដែលត្រូវបានកំណត់អត្តសញ្ញាណរបស់ BPFDoor ណែនាំការកែលម្អស្ថាបត្យកម្មដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនការគេចវេស និងអាយុកាលប្រើប្រាស់បានយូរ។ ការរីកចម្រើនសំខាន់ៗរួមមាន៖
- ការលាក់កញ្ចប់បង្កកនៅក្នុងចរាចរណ៍ HTTPS ដែលហាក់ដូចជាស្របច្បាប់
- ការអនុវត្តសញ្ញាសម្គាល់អុហ្វសិតបៃត៍ថេរ ('9999') សម្រាប់ការរកឃើញការធ្វើឱ្យសកម្មដែលអាចទុកចិត្តបាន
- ការណែនាំអំពីការទំនាក់ទំនងដែលមានមូលដ្ឋានលើ ICMP រវាងម៉ាស៊ីនដែលឆ្លងមេរោគសម្រាប់អន្តរកម្មទម្រង់ទាប
បច្ចេកទេសទាំងនេះអនុញ្ញាតឱ្យចរាចរណ៍ព្យាបាទលាយបញ្ចូលគ្នាយ៉ាងរលូនជាមួយសកម្មភាពបណ្តាញធម្មតា ដែលកាត់បន្ថយលទ្ធភាពនៃការរកឃើញយ៉ាងខ្លាំង ខណៈពេលដែលរក្សាបាននូវការប្រតិបត្តិពាក្យបញ្ជាដែលអាចទុកចិត្តបាន។
សិប្បកម្មពាណិជ្ជកម្មដែលកំពុងវិវឌ្ឍ៖ កាន់តែស៊ីជម្រៅទៅក្នុងជង់
យុទ្ធនាការនេះបង្ហាញពីការផ្លាស់ប្តូរកាន់តែទូលំទូលាយនៅក្នុងវិធីសាស្រ្តរបស់អ្នកវាយប្រហារ។ ជំនួសឱ្យការពឹងផ្អែកទាំងស្រុងលើមេរោគក្នុងលំហអ្នកប្រើប្រាស់ សត្រូវកំពុងបង្កប់មេរោគកាន់តែច្រើនឡើងៗនៅក្នុងជង់កុំព្យូទ័រ ជាពិសេសនៅកម្រិតខឺណែល និងហេដ្ឋារចនាសម្ព័ន្ធ។
បរិស្ថានទូរគមនាគមន៍គឺជាគោលដៅដ៏ទាក់ទាញជាពិសេសដោយសារតែភាពស្មុគស្មាញរបស់វា ដែលរួមមានប្រព័ន្ធ bare-metal ស្រទាប់និម្មិត ផ្នែករឹងបណ្តាញដំណើរការខ្ពស់ និងសមាសធាតុស្នូល 4G/5G ដែលដាក់ក្នុងកុងតឺន័រ។ តាមរយៈការរួមបញ្ចូលជាមួយសេវាកម្មស្របច្បាប់ និងបរិស្ថានពេលដំណើរការ ការបង្កប់ទាំងនេះអាចគេចផុតពីការការពារចំណុចបញ្ចប់បែបប្រពៃណី ហើយនៅតែមិនអាចរកឃើញក្នុងរយៈពេលយូរ។
សេចក្តីសន្និដ្ឋាន៖ ព្រំដែនថ្មីមួយនៅក្នុងចារកម្មតាមអ៊ីនធឺណិត
យុទ្ធនាការនេះបង្ហាញពីការវិវត្តន៍ដ៏សំខាន់មួយនៅក្នុងយុទ្ធសាស្ត្រចារកម្មតាមអ៊ីនធឺណិត។ តាមរយៈការទាញយកអត្ថប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធទូរគមនាគមន៍ និងយន្តការលាក់បាំងកម្រិតខឺណែល អ្នកវាយប្រហារសម្រេចបាននូវការចូលប្រើរយៈពេលវែង និងភាពមើលឃើញទាបទៅកាន់បរិស្ថានដែលងាយរងគ្រោះខ្ពស់។
ការប្រើប្រាស់ឧបករណ៍ទំនើបៗដូចជា BPFDoor រួមផ្សំជាមួយនឹងបច្ចេកទេសគេចវេសប្រកបដោយភាពច្នៃប្រឌិត និងការរួមបញ្ចូលប្រព័ន្ធស៊ីជម្រៅ បង្ហាញពីបញ្ហាប្រឈមកាន់តែខ្លាំងឡើងសម្រាប់អ្នកការពារ។ ការរកឃើញ និងការកាត់បន្ថយការគំរាមកំហែងបែបនេះតម្រូវឱ្យមានភាពមើលឃើញកាន់តែប្រសើរឡើងទៅក្នុងស្រទាប់ខាងក្រោមនៃជង់កុំព្យូទ័រ និងការគិតឡើងវិញអំពីវិធីសាស្រ្តសុវត្ថិភាពបែបប្រពៃណី។
