Raudonųjų Menshenų šnipinėjimo kampanija
Nuolatinė ir itin strateginė kibernetinio šnipinėjimo kampanija, susijusi su Kinijos remiamu grėsmės subjektu, sėkmingai įsitvirtino telekomunikacijų tinkluose. Pagrindinis tikslas – stebėti ir infiltruotis į su vyriausybe susijusią infrastruktūrą, panaudojant telekomunikacijų aplinką kaip vartus.
Ši ilgai trunkanti operacija priskiriama grėsmių grupei, žinomai kaip „Red Menshen“, taip pat sekamai tokiais slapyvardžiais kaip „Earth Bluecrow“, „DecisiveArchitect“ ir „Red Dev 18“. Bent nuo 2021 m. grupuotė nuolat taikėsi į telekomunikacijų paslaugų teikėjus visame Artimuosiuose Rytuose ir Azijoje, užmegzdama gilias ir slaptas prieigos prie svarbiausių sistemų.
Turinys
Skaitmeninės miego ląstelės: pažangios atkaklumo technikos
Saugumo tyrėjai šioje kampanijoje naudotus prieigos mechanizmus apibūdino kaip vienus slaptiausių kada nors stebėtų telekomunikacijų tinkluose. Šie metodai veikia kaip skaitmeninės miego ląstelės, kurios lieka neveiklios ir neaptinkamos, kol nėra aktyvuojamos.
Užpuolikai naudoja itin pažangių įrankių ir metodų derinį, įskaitant:
- Branduolio lygio implantai, veikiantys giliai operacinėje sistemoje
- Pasyvios galinės durys, kurios vengia tradicinių aptikimo metodų
- Kredencialų rinkimo priemonės, skirtos jautrių prieigos duomenų rinkimui
- Kelių platformų vadovavimo ir kontrolės sistemos, leidžiančios lanksčiai vykdyti operacijas
Šios galimybės leidžia grėsmės veikėjui išlaikyti ilgalaikį atkaklumą, tuo pačiu sumažinant aptinkamą veiklą.
BPFDoor: Nematomos galinės durys branduolyje
Šios kampanijos centre –„BPFDoor“ – „Linux“ pagrindu sukurta galinių durų programa, pasižyminti slaptumu ir rafinuotumu. Skirtingai nuo tradicinių kenkėjiškų programų, ši programa vengia kurti aptinkamus tinklo indikatorius.
Užuot atidaręs prievadus ar palaikęs matomus ryšio kanalus, „BPFDoor“ išnaudoja „Linux“ branduolio „Berkeley Packet Filter“ (BPF) funkcionalumą. Jis tikrina tinklo srautą viduje ir aktyvuojasi tik tada, kai gauna specialiai sukurtą „magišką“ paketą.
Ši konstrukcija panaikina nuolatinių klausytojų ar švyturių veiklos poreikį, efektyviai į operacinę sistemą įterpdama paslėptą prieigos mechanizmą. Rezultatas – praktiškai nematomas įėjimo taškas, kurį itin sunku aptikti įprastomis stebėjimo priemonėmis.
Pradinis kompromisas: kraštinės infrastruktūros išnaudojimas
Atakų grandinė paprastai prasideda nuo taikymųsi į prie interneto prijungtas sistemas ir periferinius įrenginius. Tai apima VPN šliuzus, užkardas ir prie interneto prijungtas paslaugas, ypač tas, kurios susijusios su pagrindinėmis įmonių technologijomis.
Gavę pradinę prieigą, užpuolikai diegia atakų prevencijos įrankių rinkinį, kad išplėstų savo kontrolę. Tai apima tokias sistemas kaip „CrossC2“, taip pat „Sliver“, „TinyShell“, klavišų paspaudimų registratorius ir „brute-force“ programas. Kartu šie įrankiai leidžia rinkti prisijungimo duomenis, atlikti vidinę žvalgybą ir šoninį judėjimą pažeistose aplinkose.
Dviejų komponentų architektūra: valdymas ir aktyvinimas
„BPFDoor“ veikia per dviejų dalių architektūrą, skirtą tikslumui ir slaptumui užtikrinti. Vienas komponentas yra pažeistoje sistemoje ir pasyviai stebi įeinantį srautą, ieškodamas iš anksto nustatyto paketo. Aptikus pažeidimą, jis aktyvuojamas paleisdamas nuotolinę komandinę eilutę.
Antrasis komponentas yra užpuoliko valdomas valdiklis. Šis valdiklis siunčia specialiai sukurtus paketus implantams aktyvuoti ir taip pat gali veikti aukos aplinkoje. Kai jis dislokuojamas viduje, jis gali maskuotis kaip teisėti sistemos procesai, koordinuoti papildomas infekcijas ir palengvinti kontroliuojamą judėjimą tarp sistemų.
Telekomunikacijų lygmens stebėjimas: daugiau nei tradicinės užkulisių galimybės
Kai kurie „BPFDoor“ variantai pasižymi galimybėmis, kurios pranoksta standartines „backdoor“ funkcijas. Srauto valdymo perdavimo protokolo (SCTP) palaikymas leidžia stebėti su telekomunikacijomis susijusį ryšį.
Ši galimybė leidžia užpuolikams gauti įžvalgų apie abonentų veiklą, sekti naudotojų elgesį ir potencialiai nustatyti dominančių asmenų fizinę buvimo vietą. Todėl „BPFDoor“ efektyviai veikia kaip stebėjimo sluoksnis, integruotas į telekomunikacijų infrastruktūrą, užtikrinantis ilgalaikį, tylų matomumą jautriose operacijose.
Iš naujo atrastas vengimas: nauji variantai ir slaptumo patobulinimai
Naujai identifikuotas BPFDoor variantas pasižymi architektūriniais patobulinimais, skirtais pagerinti išėjimo iš durų galimybes ir ilgaamžiškumą. Svarbiausi patobulinimai:
- Paleidžiamųjų paketų slėpimas iš pažiūros teisėtame HTTPS sraute
- Fiksuoto baitų poslinkio žymeklio („9999“) įdiegimas patikimam aktyvavimo aptikimui
- Įvedamas ICMP pagrindu veikiantis ryšys tarp užkrėstų kompiuterių, skirtas mažai žinomai sąveikai
Šie metodai leidžia kenkėjiškam srautui sklandžiai susilieti su įprasta tinklo veikla, žymiai sumažinant aptikimo tikimybę ir išlaikant patikimą komandų vykdymą.
Besivystanti prekyba: giliau į steką
Kampanija pabrėžia platesnį užpuolikų metodologijos pokytį. Užuot pasikliavę vien tik naudotojų erdvėje veikiančia kenkėjiška programine įranga, priešininkai vis dažniau diegia implantus giliau skaičiavimo stekuose, ypač branduolio ir infrastruktūros lygmenyse.
Telekomunikacijų aplinkos yra ypač patrauklūs taikiniai dėl savo sudėtingumo, apimančio „plikos metalo“ sistemas, virtualizacijos sluoksnius, didelio našumo tinklo įrangą ir konteinerinius 4G/5G pagrindinius komponentus. Integruodamiesi su teisėtomis paslaugomis ir vykdymo aplinkomis, šie implantai gali apeiti tradicines galinių taškų apsaugos priemones ir ilgą laiką išlikti nepastebėti.
Išvada: Nauja kibernetinio šnipinėjimo riba
Ši kampanija demonstruoja reikšmingą kibernetinio šnipinėjimo taktikos evoliuciją. Pasitelkdami telekomunikacijų infrastruktūrą ir branduolio lygio slaptus mechanizmus, užpuolikai gauna ilgalaikę, sunkiai pastebimą prieigą prie itin jautrių aplinkų.
Pažangių įrankių, tokių kaip „BPFDoor“, naudojimas kartu su novatoriškais grėsmių vengimo metodais ir gilia sistemų integracija rodo vis didėjantį iššūkį gynėjams. Tokių grėsmių aptikimas ir sušvelninimas reikalauja geresnio matomumo žemesniuose skaičiavimo sistemos sluoksniuose ir tradicinių saugumo metodų permąstymo.
