Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Rode Menshen Spionagecampagne

Rode Menshen Spionagecampagne

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een aanhoudende en zeer strategische cyber-spionagecampagne, gelinkt aan een aan China gelieerde dreigingsgroep, heeft zich met succes genesteld in telecommunicatienetwerken. Het primaire doel is het bespioneren en infiltreren van overheidsgerelateerde infrastructuur door telecomomgevingen als toegangspoort te gebruiken.

Deze langdurige operatie wordt toegeschreven aan het dreigingscluster Red Menshen, dat ook bekendstaat onder aliassen als Earth Bluecrow, DecisiveArchitect en Red Dev 18. Sinds ten minste 2021 heeft de groep zich consequent gericht op telecomproviders in het Midden-Oosten en Azië, waarbij ze op een diepgewortelde en heimelijke manier toegang hebben verkregen tot kritieke systemen.

Digitale slaapcellen: geavanceerde persistentietechnieken

Beveiligingsonderzoekers hebben de toegangsmethoden die in deze campagne zijn gebruikt, gekarakteriseerd als een van de meest verborgen methoden die ooit in telecomnetwerken zijn waargenomen. Deze technieken functioneren als digitale slaapcellen: ze blijven inactief en onopgemerkt totdat ze worden geactiveerd.

De aanvallers maken gebruik van een combinatie van zeer geavanceerde tools en technieken, waaronder:

  • Kernel-niveau implantaten die diep in het besturingssysteem opereren.
  • Passieve achterdeuren die traditionele detectiemethoden omzeilen.
  • Hulpprogramma's voor het verzamelen van inloggegevens om gevoelige toegangsinformatie te verkrijgen.
  • Platformonafhankelijke command-and-control-frameworks die flexibele operaties mogelijk maken

Deze mogelijkheden stellen de aanvaller in staat om langdurig actief te blijven en tegelijkertijd zijn detecteerbare activiteiten tot een minimum te beperken.

BPFDoor: De onzichtbare achterdeur in de kernel

Centraal in deze campagne staatBPFDoor , een op Linux gebaseerde backdoor die uitblinkt in stealth en verfijning. In tegenstelling tot traditionele malware laat deze implant geen detecteerbare netwerkindicatoren achter.

In plaats van poorten te openen of zichtbare communicatiekanalen te onderhouden, maakt BPFDoor gebruik van de functionaliteit van Berkeley Packet Filter (BPF) binnen de Linux-kernel. Het inspecteert intern netwerkverkeer en wordt alleen geactiveerd wanneer het een speciaal geconstrueerd 'magisch' pakket ontvangt.

Dit ontwerp elimineert de noodzaak voor permanente luisteraars of bakenactiviteit, waardoor een verborgen toegangsmechanisme direct in het besturingssysteem wordt ingebouwd. Het resultaat is een vrijwel onzichtbaar toegangspunt dat extreem moeilijk te detecteren is met conventionele monitoringtools.

Eerste inbreuk: misbruik van infrastructuur aan de rand van het netwerk

De aanvalsketen begint doorgaans met het aanvallen van systemen en apparaten aan de rand van het netwerk die met internet verbonden zijn. Dit omvat VPN-gateways, firewalls en webdiensten, met name die welke gekoppeld zijn aan belangrijke bedrijfstechnologieën.

Zodra de aanvallers toegang hebben verkregen, zetten ze een reeks tools in om hun controle uit te breiden. Hieronder vallen frameworks zoals CrossC2, Sliver, TinyShell, keyloggers en brute-force-tools. Met deze tools kunnen ze inloggegevens verzamelen, interne systemen verkennen en zich lateraal verplaatsen binnen gecompromitteerde omgevingen.

Architectuur met twee componenten: besturing en activering

BPFDoor werkt met een tweedelige architectuur die is ontworpen voor precisie en onopvallendheid. Eén component bevindt zich op het gecompromitteerde systeem en monitort passief inkomend verkeer op een vooraf gedefinieerd triggerpakket. Bij detectie wordt het geactiveerd door een externe shell te starten.

Het tweede onderdeel is een controller die door de aanvaller wordt bediend. Deze controller verstuurt speciaal geconstrueerde pakketten om implantaten te activeren en kan ook functioneren binnen de omgeving van het slachtoffer. Wanneer deze intern wordt ingezet, kan hij zich voordoen als legitieme systeemprocessen, aanvullende infecties coördineren en gecontroleerde laterale verplaatsing tussen systemen mogelijk maken.

Toezicht op telecomniveau: voorbij traditionele achterdeuren

Bepaalde varianten van BPFDoor beschikken over mogelijkheden die verder gaan dan de standaard backdoor-functionaliteit. Ondersteuning voor het Stream Control Transmission Protocol (SCTP) maakt het mogelijk om telecomspecifieke communicatie te monitoren.

Deze mogelijkheid stelt aanvallers in staat inzicht te krijgen in de activiteit van abonnees, gebruikersgedrag te volgen en mogelijk de fysieke locatie van personen van belang te achterhalen. Hierdoor fungeert BPFDoor in feite als een bewakingslaag ingebed in de telecominfrastructuur, die langdurig en met minimale ruis inzicht biedt in gevoelige processen.

Ontwijken opnieuw uitgevonden: nieuwe varianten en verbeteringen voor stealth

Een nieuw ontdekte variant van BPFDoor introduceert architectonische verbeteringen die zijn ontworpen om de ontwijkingskans en de levensduur te vergroten. Belangrijke verbeteringen zijn onder meer:

  • Het verbergen van triggerpakketten in ogenschijnlijk legitiem HTTPS-verkeer.
  • Het afdwingen van een vaste byte-offsetmarkering ('9999') voor betrouwbare activeringsdetectie.
  • Introductie van ICMP-gebaseerde communicatie tussen geïnfecteerde hosts voor onopvallende interactie.

Deze technieken zorgen ervoor dat kwaadaardig verkeer naadloos opgaat in normale netwerkactiviteit, waardoor de kans op detectie aanzienlijk kleiner wordt, terwijl de betrouwbare uitvoering van commando's behouden blijft.

Evoluerende vakmanschap: Dieper in de stapel

De campagne benadrukt een bredere verschuiving in de methodologie van aanvallers. In plaats van zich uitsluitend te richten op malware in de gebruikersruimte, plaatsen tegenstanders steeds vaker implantaten dieper in de computerstack, met name op kernel- en infrastructuurniveau.

Telecomomgevingen zijn bijzonder aantrekkelijke doelwitten vanwege hun complexiteit, die onder andere bare-metal-systemen, virtualisatielagen, krachtige netwerkhardware en gecontaineriseerde 4G/5G-kerncomponenten omvat. Door integratie met legitieme diensten en runtime-omgevingen kunnen deze malware-implantaten traditionele endpointbeveiligingen omzeilen en lange tijd onopgemerkt blijven.

Conclusie: Een nieuwe grens in cyber spionage

Deze campagne demonstreert een aanzienlijke evolutie in cyber-spionagetactieken. Door gebruik te maken van telecominfrastructuur en stealth-mechanismen op kernelniveau, verkrijgen aanvallers langdurige, onopvallende toegang tot zeer gevoelige omgevingen.

Het gebruik van geavanceerde tools zoals BPFDoor, in combinatie met innovatieve ontwijktechnieken en diepe systeemintegratie, duidt op een groeiende uitdaging voor verdedigers. Het detecteren en neutraliseren van dergelijke bedreigingen vereist een beter inzicht in de diepere lagen van de computerarchitectuur en een heroverweging van traditionele beveiligingsbenaderingen.

Trending

Meest bekeken

Bezig met laden...