Sarkanā Menšena spiegošanas kampaņa
Pastāvīga un ļoti stratēģiska kiberizlūkošanas kampaņa, kas saistīta ar Ķīnas atbalstītu apdraudējuma aktoru, ir veiksmīgi iekļāvusies telekomunikāciju tīklos. Galvenais mērķis ir novērot un iefiltrēties ar valdību saistītā infrastruktūrā, izmantojot telekomunikāciju vidi kā vārteju.
Šī ilgstošā operācija tiek attiecināta uz apdraudējumu klasteri, kas pazīstams kā Red Menshen, kas tiek izsekots arī ar tādiem pseidonīmiem kā Earth Bluecrow, DecisiveArchitect un Red Dev 18. Vismaz kopš 2021. gada grupa ir pastāvīgi uzbrukusi telekomunikāciju pakalpojumu sniedzējiem visā Tuvajos Austrumos un Āzijā, izveidojot dziļi iesakņojušos un slepenu piekļuvi kritiski svarīgām sistēmām.
Satura rādītājs
Digitālās miega šūnas: uzlabotas noturības metodes
Drošības pētnieki šajā kampaņā izmantotos piekļuves mehānismus ir raksturojuši kā vienus no slepenākajiem, kādi jebkad novēroti telekomunikāciju tīklos. Šīs metodes darbojas kā digitālās snaudošās šūnas, paliekot neaktīvas un neatklātas, līdz tiek aktivizētas.
Uzbrucēji paļaujas uz augsti attīstītu rīku un metožu kombināciju, tostarp:
- Kodola līmeņa implanti, kas darbojas dziļi operētājsistēmā
- Pasīvās aizmugurējās durvis, kas apiet tradicionālās noteikšanas metodes
- Akreditācijas datu apkopošanas utilītprogrammas sensitīvu piekļuves datu apkopošanai
- Starpplatformu vadības un kontroles sistēmas, kas nodrošina elastīgas darbības
Šīs iespējas ļauj apdraudējuma spēlētājam saglabāt ilgtermiņa noturību, vienlaikus samazinot nosakāmu aktivitāti.
BPFDoor: Neredzamās aizmugurējās durvis kodolā
Šīs kampaņas centrā irBPFDoor — Linux bāzes izstrādāta ļaunprogrammatūra, kas iemieso slepenību un izsmalcinātību. Atšķirībā no tradicionālās ļaunprogrammatūras, šī programma nerada nosakāmus tīkla indikatorus.
Tā vietā, lai atvērtu portus vai uzturētu redzamus saziņas kanālus, BPFDoor izmanto Linux kodola Berkeley Packet Filter (BPF) funkcionalitāti. Tas iekšēji pārbauda tīkla trafiku un aktivizējas tikai tad, kad saņem speciāli izveidotu "maģisko" paketi.
Šis dizains novērš nepieciešamību pēc pastāvīgiem klausītājiem vai bākoņu aktivitātes, efektīvi iestrādājot slēptu piekļuves mehānismu tieši operētājsistēmā. Rezultāts ir praktiski neredzams ieejas punkts, ko ir ārkārtīgi grūti atklāt, izmantojot parastos uzraudzības rīkus.
Sākotnējais kompromiss: perifērijas infrastruktūras izmantošana
Uzbrukumu ķēde parasti sākas ar mērķēšanu uz internetam piekļūstamām sistēmām un perifērijas ierīcēm. Tie ietver VPN vārtejas, ugunsmūrus un tīmekļa pakalpojumiem, jo īpaši tos, kas saistīti ar lielākajām uzņēmumu tehnoloģijām.
Kad sākotnējā piekļuve ir iegūta, uzbrucēji izvieto virkni pēcierobežošanas rīku, lai paplašinātu savu kontroli. Tie ietver tādus ietvarus kā CrossC2, kā arī Sliver, TinyShell, taustiņu reģistrētājus un brutālas piespēles utilītas. Kopā šie rīki nodrošina akreditācijas datu iegūšanu, iekšējo izlūkošanu un sānu pārvietošanos apdraudētās vidēs.
Divkomponentu arhitektūra: vadība un aktivizēšana
BPFDoor darbojas, izmantojot divdaļīgu arhitektūru, kas paredzēta precizitātei un slepenībai. Viena komponente atrodas apdraudētajā sistēmā un pasīvi uzrauga ienākošo datplūsmu, meklējot iepriekš noteiktu aktivizēšanas paketi. Pēc atklāšanas tā aktivizējas, izveidojot attālu čaulu.
Otrais komponents ir kontrolieris, ko pārvalda uzbrucējs. Šis kontrolieris nosūta speciāli izstrādātas paketes implantu aktivizēšanai un var darboties arī upura vidē. Izvietots iekšēji, tas var maskēties kā likumīgi sistēmas procesi, koordinēt papildu infekcijas un veicināt kontrolētu sānu pārvietošanos starp sistēmām.
Telekomunikāciju līmeņa novērošana: vairāk nekā tradicionālās aizmugurējās durvis
Dažas BPFDoor versijas demonstrē iespējas, kas pārsniedz standarta aizmugurējo durvju funkcionalitāti. Atbalsts straumes vadības pārraides protokolam (SCTP) ļauj uzraudzīt telekomunikācijām paredzēto saziņu.
Šī iespēja ļauj uzbrucējiem iegūt ieskatu abonentu aktivitātēs, izsekot lietotāju uzvedību un, iespējams, noteikt interesējošo personu fizisko atrašanās vietu. Tā rezultātā BPFDoor efektīvi kalpo kā novērošanas slānis, kas iestrādāts telekomunikāciju infrastruktūrā, nodrošinot ilgtermiņa, zema trokšņa līmeņa redzamību jutīgās darbībās.
Izvairīšanās no jauna: jauni varianti un maskēšanās uzlabojumi
Jaunizveidots BPFDoor variants ievieš arhitektūras uzlabojumus, kas paredzēti, lai uzlabotu izvairīšanos no durvīm un kalpošanas laiku. Galvenie uzlabojumi ietver:
- Aktivizējošo pakešu slēpšana šķietami likumīgā HTTPS datplūsmā
- Fiksēta baitu nobīdes marķiera ('9999') ieviešana uzticamai aktivizācijas noteikšanai
- Iepazīstinām ar ICMP balstītu komunikāciju starp inficētiem saimniekiem, lai nodrošinātu neprofesionālu mijiedarbību
Šīs metodes ļauj ļaunprātīgai datplūsmai nemanāmi saplūst ar parasto tīkla aktivitāti, ievērojami samazinot atklāšanas iespējamību, vienlaikus saglabājot uzticamu komandu izpildi.
Attīstošā tirdzniecības amatniecība: dziļāk stekā
Kampaņa izceļ plašākas izmaiņas uzbrucēju metodoloģijā. Tā vietā, lai paļautos tikai uz lietotāja telpas ļaunprogrammatūru, pretinieki arvien vairāk iestrādā implantus dziļāk skaitļošanas kaudzē, īpaši kodola un infrastruktūras līmenī.
Telekomunikāciju vides ir īpaši pievilcīgi mērķi to sarežģītības dēļ, kas ietver tukšas metāla sistēmas, virtualizācijas slāņus, augstas veiktspējas tīkla aparatūru un konteinerizētus 4G/5G pamatkomponentus. Integrējoties ar likumīgiem pakalpojumiem un izpildlaika vidēm, šie implanti var apiet tradicionālās galapunktu aizsardzības un ilgstoši palikt nepamanīti.
Secinājums: Jauna robeža kiberspiegošanā
Šī kampaņa demonstrē ievērojamu kiberizlūkošanas taktikas evolūciju. Izmantojot telekomunikāciju infrastruktūru un kodola līmeņa slepenības mehānismus, uzbrucēji iegūst ilgtermiņa, grūti pamanāmu piekļuvi ļoti jutīgām vidēm.
Tādu modernu rīku kā BPFDoor izmantošana apvienojumā ar inovatīvām apdraudējumu novēršanas metodēm un dziļu sistēmu integrāciju liecina par pieaugošu izaicinājumu aizsardzības uzņēmumiem. Šādu apdraudējumu atklāšana un mazināšana prasa uzlabotu pārredzamību zemākos skaitļošanas sistēmas slāņos un tradicionālo drošības pieeju pārskatīšanu.
