Rød Menshen-spionasjekampanje
En vedvarende og svært strategisk cyberspionasjekampanje knyttet til en Kina-alliert trusselaktør har lykkes med å forankre seg i telekommunikasjonsnettverk. Hovedmålet er å overvåke og infiltrere myndighetsrelatert infrastruktur ved å utnytte telekommiljøer som en inngangsport.
Denne langvarige operasjonen tilskrives trusselklyngen kjent som Red Menshen, også sporet under alias som Earth Bluecrow, DecisiveArchitect og Red Dev 18. Siden minst 2021 har gruppen konsekvent rettet seg mot telekomleverandører over hele Midtøsten og Asia, og etablert dypt forankret og skjult tilgang i kritiske systemer.
Innholdsfortegnelse
Digitale sovende celler: Avanserte persistensteknikker
Sikkerhetsforskere har karakterisert tilgangsmekanismene som brukes i denne kampanjen som blant de mest skjulte som noen gang er observert i telekommunikasjonsnettverk. Disse teknikkene fungerer som digitale sovende celler, som forblir inaktive og uoppdagede inntil de aktiveres.
Angriperne bruker en kombinasjon av svært avanserte verktøy og teknikker, inkludert:
- Kjernenivåimplantater som opererer dypt inne i operativsystemet
- Passive bakdører som unngår tradisjonelle deteksjonsmetoder
- Verktøy for innsamling av legitimasjonsinformasjon for innsamling av sensitive tilgangsdata
- Plattformovergripende kommando- og kontrollrammeverk som muliggjør fleksible operasjoner
Disse funksjonene lar trusselaktøren opprettholde langsiktig vedvarenhet samtidig som den minimerer påvisbar aktivitet.
BPFDoor: Den usynlige bakdøren i kjernen
I sentrum av denne kampanjen liggerBPFDoor , en Linux-basert bakdør som eksemplifiserer snikende og sofistikerte metoder. I motsetning til tradisjonell skadelig programvare unngår dette implantatet å lage detekterbare nettverksindikatorer.
I stedet for å åpne porter eller opprettholde synlige kommunikasjonskanaler, utnytter BPFDoor Berkeley Packet Filter (BPF)-funksjonalitet i Linux-kjernen. Den inspiserer nettverkstrafikk internt og aktiveres bare når den mottar en spesiallaget «magisk» pakke.
Denne designen eliminerer behovet for vedvarende lyttere eller beaconing-aktivitet, og integrerer effektivt en skjult tilgangsmekanisme direkte i operativsystemet. Resultatet er et praktisk talt usynlig inngangspunkt som er ekstremt vanskelig å oppdage gjennom konvensjonelle overvåkingsverktøy.
Innledende kompromiss: Utnyttelse av edge-infrastruktur
Angrepskjeden starter vanligvis med å målrette internett-rettede systemer og kantenheter. Disse inkluderer VPN-gatewayer, brannmurer og nett-rettede tjenester, spesielt de som er knyttet til store bedriftsteknologier.
Når første tilgang er oppnådd, distribuerer angriperne en rekke verktøy etter utnyttelse for å utvide kontrollen sin. Disse inkluderer rammeverk som CrossC2, sammen med Sliver, TinyShell, keyloggers og brute-force-verktøy. Sammen muliggjør disse verktøyene innhenting av legitimasjon, intern rekognosering og lateral bevegelse på tvers av kompromitterte miljøer.
Tokomponentarkitektur: Kontroll og aktivering
BPFDoor opererer gjennom en todelt arkitektur designet for presisjon og stealth. Én komponent befinner seg på det kompromitterte systemet og overvåker passivt innkommende trafikk for en forhåndsdefinert triggerpakke. Ved deteksjon aktiveres den ved å generere et eksternt skall.
Den andre komponenten er en kontroller som betjenes av angriperen. Denne kontrolleren sender spesiallagde pakker for å aktivere implantater, og kan også fungere i offerets miljø. Når den distribueres internt, kan den kamuflere seg som legitime systemprosesser, koordinere ytterligere infeksjoner og legge til rette for kontrollert sideveis bevegelse mellom systemer.
Overvåking på telekomnivå: Utover tradisjonelle bakdører
Enkelte varianter av BPFDoor demonstrerer funksjoner som går utover standard bakdørfunksjonalitet. Støtte for Stream Control Transmission Protocol (SCTP) muliggjør overvåking av telekomspesifikk kommunikasjon.
Denne funksjonen lar angripere få innsikt i abonnentaktivitet, spore brukeratferd og potensielt bestemme den fysiske plasseringen til personer av interesse. Som et resultat fungerer BPFDoor effektivt som et overvåkingslag innebygd i telekominfrastrukturen, og gir langsiktig, støysvak innsikt i sensitive operasjoner.
Unnvikelse gjenoppfunnet: Nye varianter og forbedringer av sniking
En nylig identifisert variant av BPFDoor introduserer arkitektoniske forbedringer som er utformet for å forbedre unngåelse og levetid. Viktige forbedringer inkluderer:
- Skjule triggerpakker i tilsynelatende legitim HTTPS-trafikk
- Håndhever en fast byte-offset-markør ('9999') for pålitelig aktiveringsdeteksjon
- Introduksjon av ICMP-basert kommunikasjon mellom infiserte verter for lavprofilinteraksjon
Disse teknikkene lar ondsinnet trafikk blande seg sømløst med normal nettverksaktivitet, noe som reduserer sannsynligheten for oppdagelse betydelig, samtidig som pålitelig kommandoutførelse opprettholdes.
Utviklende håndverk: Dypere inn i bunken
Kampanjen fremhever et bredere skifte i angripermetoden. I stedet for å utelukkende stole på skadelig programvare i brukerområdet, integrerer motstanderne i økende grad implantater dypere i databehandlingsstakken, spesielt på kjerne- og infrastrukturnivå.
Telekommiljøer er spesielt attraktive mål på grunn av kompleksiteten, som inkluderer bare-metal-systemer, virtualiseringslag, nettverksmaskinvare med høy ytelse og containeriserte 4G/5G-kjernekomponenter. Ved å integrere med legitime tjenester og kjøretidsmiljøer kan disse implantatene omgå tradisjonelle endepunktforsvar og vedvare uoppdaget i lengre perioder.
Konklusjon: En ny grense innen cyberspionasje
Denne kampanjen demonstrerer en betydelig utvikling innen cyberspionasjetaktikker. Ved å utnytte telekominfrastruktur og stealth-mekanismer på kjernenivå, oppnår angripere langvarig tilgang til svært sensitive miljøer med lav synlighet.
Bruken av avanserte verktøy som BPFDoor, kombinert med innovative unnvikelsesteknikker og dyp systemintegrasjon, signaliserer en økende utfordring for forsvarere. Å oppdage og redusere slike trusler krever forbedret innsikt i de lavere lagene i databehandlingsstakken og en nytenkning av tradisjonelle sikkerhetstilnærminger.
