Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Kempen Pengintipan Red Menshen

Kempen Pengintipan Red Menshen

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Satu kempen pengintipan siber yang berterusan dan sangat strategik yang dikaitkan dengan pelaku ancaman yang selari dengan China telah berjaya membenamkan dirinya dalam rangkaian telekomunikasi. Objektif utamanya adalah untuk memerhati dan menyusup masuk ke infrastruktur berkaitan kerajaan dengan memanfaatkan persekitaran telekomunikasi sebagai pintu masuk.

Operasi jangka panjang ini dikaitkan dengan kluster ancaman yang dikenali sebagai Red Menshen, yang juga dikesan di bawah alias seperti Earth Bluecrow, DecisiveArchitect dan Red Dev 18. Sejak sekurang-kurangnya 2021, kumpulan ini secara konsisten menyasarkan penyedia telekomunikasi di seluruh Timur Tengah dan Asia, mewujudkan akses yang mendalam dan rahsia dalam sistem kritikal.

Sel Tidur Digital: Teknik Kegigihan Lanjutan

Penyelidik keselamatan telah mencirikan mekanisme akses yang digunakan dalam kempen ini sebagai antara yang paling rahsia yang pernah diperhatikan dalam rangkaian telekomunikasi. Teknik-teknik ini berfungsi seperti sel tidur digital, kekal tidak aktif dan tidak dikesan sehingga diaktifkan.

Penyerang bergantung pada gabungan alat dan teknik yang sangat canggih, termasuk:

  • Implan peringkat kernel yang beroperasi jauh di dalam sistem pengendalian
  • Pintu belakang pasif yang mengelakkan kaedah pengesanan tradisional
  • Utiliti pengumpulan kelayakan untuk mengumpul data akses sensitif
  • Rangka kerja arahan dan kawalan merentas platform yang membolehkan operasi fleksibel

Keupayaan ini membolehkan pelaku ancaman mengekalkan kegigihan jangka panjang sambil meminimumkan aktiviti yang boleh dikesan.

BPFDoor: Pintu Belakang Ghaib dalam Kernel

Di tengah-tengah kempen ini terletaknyaBPFDoor , pintu belakang berasaskan Linux yang mencontohkan kerahsiaan dan kecanggihan. Tidak seperti perisian hasad tradisional, implan ini mengelakkan daripada mencipta penunjuk rangkaian yang boleh dikesan.

Daripada membuka port atau mengekalkan saluran komunikasi yang boleh dilihat, BPFDoor mengeksploitasi fungsi Penapis Paket Berkeley (BPF) dalam kernel Linux. Ia memeriksa trafik rangkaian secara dalaman dan hanya diaktifkan apabila ia menerima paket 'ajaib' yang direka khas.

Reka bentuk ini menghapuskan keperluan untuk pendengar berterusan atau aktiviti isyarat, dengan berkesan membenamkan mekanisme akses tersembunyi terus ke dalam sistem pengendalian. Hasilnya ialah titik masuk yang hampir tidak kelihatan yang amat sukar dikesan melalui alat pemantauan konvensional.

Kompromi Awal: Mengeksploitasi Infrastruktur Tepi

Rantaian serangan biasanya bermula dengan menyasarkan sistem yang menghadap internet dan peranti tepi. Ini termasuk gerbang VPN, tembok api dan perkhidmatan yang menghadap web, terutamanya yang berkaitan dengan teknologi perusahaan utama.

Sebaik sahaja akses awal dicapai, penyerang menggunakan satu set alat pasca eksploitasi untuk meluaskan kawalan mereka. Ini termasuk rangka kerja seperti CrossC2, bersama-sama dengan Sliver, TinyShell, keylogger dan utiliti brute-force. Secara keseluruhan, alat ini membolehkan penuaian kelayakan, peninjauan dalaman dan pergerakan lateral merentasi persekitaran yang terjejas.

Senibina Dwi-Komponen: Kawalan dan Pengaktifan

BPFDoor beroperasi melalui seni bina dua bahagian yang direka untuk ketepatan dan kerahsiaan. Satu komponen berada pada sistem yang diceroboh, memantau trafik masuk secara pasif untuk paket pencetus yang telah ditetapkan. Setelah dikesan, ia diaktifkan dengan menghasilkan shell jauh.

Komponen kedua ialah pengawal yang dikendalikan oleh penyerang. Pengawal ini menghantar paket yang direka khas untuk mengaktifkan implan dan juga boleh berfungsi dalam persekitaran mangsa. Apabila digunakan secara dalaman, ia boleh menyamar sebagai proses sistem yang sah, menyelaraskan jangkitan tambahan dan memudahkan pergerakan lateral terkawal antara sistem.

Pengawasan Peringkat Telekomunikasi: Melangkaui Pintu Belakang Tradisional

Sesetengah varian BPFDoor menunjukkan keupayaan yang melangkaui fungsi pintu belakang standard. Sokongan untuk Protokol Penghantaran Kawalan Strim (SCTP) membolehkan pemantauan komunikasi khusus telekomunikasi.

Keupayaan ini membolehkan penyerang mendapatkan maklumat tentang aktiviti pelanggan, menjejaki tingkah laku pengguna dan berpotensi menentukan lokasi fizikal individu yang diminati. Hasilnya, BPFDoor berfungsi secara berkesan sebagai lapisan pengawasan yang terbenam dalam infrastruktur telekomunikasi, memberikan keterlihatan jangka panjang dan rendah bunyi ke dalam operasi sensitif.

Pengelakan Dicipta Semula: Varian Baharu dan Penambahbaikan Stealth

Satu varian BPFDoor yang baru dikenal pasti memperkenalkan penambahbaikan seni bina yang direka untuk meningkatkan pengelakan dan ketahanan. Kemajuan utama termasuk:

  • Menyembunyikan paket pencetus dalam trafik HTTPS yang nampaknya sah
  • Menguatkuasakan penanda ofset bait tetap ('9999') untuk pengesanan pengaktifan yang boleh dipercayai
  • Memperkenalkan komunikasi berasaskan ICMP antara perumah yang dijangkiti untuk interaksi berprofil rendah

Teknik-teknik ini membolehkan trafik berniat jahat bergabung dengan lancar dengan aktiviti rangkaian biasa, sekali gus mengurangkan kemungkinan pengesanan dengan ketara sambil mengekalkan pelaksanaan arahan yang boleh dipercayai.

Berkembangnya Kraftangan: Lebih Dalam Ke Dalam Susunan

Kempen ini mengetengahkan perubahan yang lebih luas dalam metodologi penyerang. Daripada hanya bergantung pada perisian hasad ruang pengguna, pihak musuh semakin menanamkan implan yang lebih dalam dalam susunan pengkomputeran, terutamanya pada peringkat kernel dan infrastruktur.

Persekitaran telekomunikasi merupakan sasaran yang sangat menarik kerana kerumitannya, yang merangkumi sistem bare-metal, lapisan virtualisasi, perkakasan rangkaian berprestasi tinggi dan komponen teras 4G/5G yang dikemas kini. Dengan berintegrasi dengan perkhidmatan dan persekitaran masa jalan yang sah, implan ini dapat mengelak daripada pertahanan titik akhir tradisional dan kekal tidak dikesan untuk tempoh yang lama.

Kesimpulan: Sempadan Baharu dalam Pengintipan Siber

Kempen ini menunjukkan evolusi yang ketara dalam taktik pengintipan siber. Dengan memanfaatkan infrastruktur telekomunikasi dan mekanisme senyap peringkat kernel, penyerang mencapai akses jangka panjang yang rendah penglihatan ke persekitaran yang sangat sensitif.

Penggunaan alatan canggih seperti BPFDoor, digabungkan dengan teknik pengelakan inovatif dan penyepaduan sistem yang mendalam, menandakan cabaran yang semakin meningkat bagi pihak pembela. Mengesan dan mengurangkan ancaman sedemikian memerlukan keterlihatan yang dipertingkatkan ke dalam lapisan bawah susunan pengkomputeran dan pemikiran semula pendekatan keselamatan tradisional.

Trending

Paling banyak dilihat

Memuatkan...