Kampania szpiegowska Czerwonych Menshenów

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)

Przetłumacz na:

Uporczywa i strategiczna kampania cybernetycznego szpiegostwa, powiązana z chińskim aktorem, skutecznie zadomowiła się w sieciach telekomunikacyjnych. Głównym celem jest inwigilacja i infiltracja infrastruktury rządowej poprzez wykorzystanie środowisk telekomunikacyjnych jako bramy.

Ta długotrwała operacja przypisuje się grupie zagrożeń znanej jako Red Menshen, śledzonej również pod pseudonimami takimi jak Earth Bluecrow, DecisiveArchitect i Red Dev 18. Od co najmniej 2021 roku grupa ta konsekwentnie atakuje dostawców usług telekomunikacyjnych na Bliskim Wschodzie i w Azji, uzyskując głęboko zakorzeniony i tajny dostęp do krytycznych systemów.

Spis treści

Cyfrowe komórki uśpione: zaawansowane techniki trwałości

Badacze bezpieczeństwa określili mechanizmy dostępu zastosowane w tej kampanii jako jedne z najbardziej tajnych, jakie kiedykolwiek zaobserwowano w sieciach telekomunikacyjnych. Techniki te działają jak cyfrowe komórki uśpione, pozostając uśpione i niewykryte do momentu aktywacji.

Napastnicy wykorzystują kombinację wysoce zaawansowanych narzędzi i technik, w tym:

Implanty na poziomie jądra, które działają głęboko w systemie operacyjnym
Pasywne tylne furtki, które omijają tradycyjne metody wykrywania
Narzędzia do zbierania poświadczeń w celu gromadzenia poufnych danych dostępowych
Wieloplatformowe struktury dowodzenia i kontroli umożliwiające elastyczne działania

Dzięki tym możliwościom sprawca zagrożenia może utrzymywać się przez długi czas, minimalizując jednocześnie wykrywalną aktywność.

BPFDoor: Niewidzialne tylne drzwi w jądrze

W centrum tej kampanii znajduje sięBPFDoor , backdoor oparty na Linuksie, który jest przykładem niewidzialności i wyrafinowania. W przeciwieństwie do tradycyjnego złośliwego oprogramowania, ten implant unika tworzenia wykrywalnych wskaźników sieciowych.

Zamiast otwierać porty lub utrzymywać widoczne kanały komunikacyjne, BPFDoor wykorzystuje funkcjonalność filtru pakietów Berkeley (BPF) w jądrze Linuksa. Wewnętrznie kontroluje ruch sieciowy i aktywuje się tylko po otrzymaniu specjalnie spreparowanego „magicznego” pakietu.

Ta konstrukcja eliminuje potrzebę ciągłego nasłuchiwania lub sygnalizowania, skutecznie osadzając ukryty mechanizm dostępu bezpośrednio w systemie operacyjnym. W rezultacie powstaje praktycznie niewidoczny punkt wejścia, niezwykle trudny do wykrycia za pomocą konwencjonalnych narzędzi monitorujących.

Początkowe zagrożenie: wykorzystanie infrastruktury brzegowej

Łańcuch ataków zazwyczaj rozpoczyna się od ataków na systemy i urządzenia brzegowe sieci, które są skierowane do internetu. Należą do nich bramy VPN, zapory sieciowe i usługi internetowe, zwłaszcza te powiązane z głównymi technologiami korporacyjnymi.

Po uzyskaniu wstępnego dostępu atakujący wdrażają pakiet narzędzi poeksploatacyjnych, aby rozszerzyć swoją kontrolę. Należą do nich frameworki takie jak CrossC2, Sliver, TinyShell, keyloggery i narzędzia do ataków siłowych. Razem narzędzia te umożliwiają zbieranie danych uwierzytelniających, wewnętrzny rekonesans i boczne przemieszczanie się w zainfekowanych środowiskach.

Architektura dwukomponentowa: kontrola i aktywacja

BPFDoor działa w oparciu o dwuczęściową architekturę zaprojektowaną z myślą o precyzji i ukryciu. Jeden komponent znajduje się w zainfekowanym systemie i pasywnie monitoruje ruch przychodzący w poszukiwaniu predefiniowanego pakietu wyzwalającego. Po wykryciu aktywuje się, tworząc zdalną powłokę.

Drugim komponentem jest kontroler obsługiwany przez atakującego. Kontroler ten wysyła specjalnie spreparowane pakiety w celu aktywacji implantów i może również działać w środowisku ofiary. Po wdrożeniu wewnętrznym może podszywać się pod legalne procesy systemowe, koordynować dodatkowe infekcje i ułatwiać kontrolowane przemieszczanie się między systemami.

Nadzór na poziomie telekomunikacyjnym: poza tradycyjnymi tylnymi drzwiami

Niektóre warianty BPFDoor oferują możliwości wykraczające poza standardową funkcjonalność backdoora. Obsługa protokołu SCTP (Stream Control Transmission Protocol) umożliwia monitorowanie komunikacji telekomunikacyjnej.

Ta funkcja pozwala atakującym uzyskać wgląd w aktywność abonentów, śledzić zachowania użytkowników i potencjalnie określić fizyczną lokalizację osób będących przedmiotem zainteresowania. W rezultacie BPFDoor skutecznie pełni funkcję warstwy nadzoru wbudowanej w infrastrukturę telekomunikacyjną, zapewniając długoterminowy i bezzakłóceniowy wgląd w wrażliwe operacje.

Nowe uniki: nowe warianty i ulepszenia w zakresie skradania się

Nowo zidentyfikowana odmiana BPFDoor wprowadza udoskonalenia architektoniczne mające na celu zwiększenie bezpieczeństwa i trwałości. Najważniejsze udoskonalenia obejmują:

Ukrywanie pakietów wyzwalających w pozornie legalnym ruchu HTTPS
Wymuszanie stałego znacznika przesunięcia bajtu („9999”) w celu niezawodnego wykrywania aktywacji
Wprowadzenie komunikacji opartej na protokole ICMP między zainfekowanymi hostami w celu zapewnienia interakcji o niskim profilu

Techniki te pozwalają złośliwemu ruchowi płynnie wtopić się w normalną aktywność sieciową, znacznie zmniejszając prawdopodobieństwo wykrycia, przy jednoczesnym zapewnieniu niezawodności wykonywania poleceń.

Ewolucja handlu: głębiej w stos

Kampania uwypukla szerszą zmianę w metodologii atakujących. Zamiast polegać wyłącznie na złośliwym oprogramowaniu działającym w przestrzeni użytkownika, przeciwnicy coraz częściej osadzają implanty głębiej w stosie obliczeniowym, szczególnie na poziomie jądra i infrastruktury.

Środowiska telekomunikacyjne są szczególnie atrakcyjnym celem ataków ze względu na swoją złożoność, obejmującą systemy fizyczne, warstwy wirtualizacji, wysokowydajny sprzęt sieciowy oraz skonteneryzowane komponenty rdzeniowe 4G/5G. Dzięki integracji z legalnymi usługami i środowiskami wykonawczymi, te implanty mogą omijać tradycyjne zabezpieczenia punktów końcowych i pozostawać niewykryte przez dłuższy czas.

Wnioski: Nowa granica w cybernetycznym szpiegostwie

Ta kampania jest przykładem znaczącej ewolucji taktyk cybernetycznego szpiegostwa. Wykorzystując infrastrukturę telekomunikacyjną i mechanizmy ukrywania się na poziomie jądra, atakujący uzyskują długotrwały, mało widoczny dostęp do wysoce wrażliwych środowisk.

Wykorzystanie zaawansowanych narzędzi, takich jak BPFDoor, w połączeniu z innowacyjnymi technikami unikania i głęboką integracją systemową, sygnalizuje rosnące wyzwanie dla obrońców. Wykrywanie i łagodzenie takich zagrożeń wymaga lepszej widoczności niższych warstw stosu obliczeniowego oraz ponownego przemyślenia tradycyjnych podejść do bezpieczeństwa.

Procesor płatności Digital River GmbH firmy EnigmaSoft ogłasza upadłość, nie wpływając na ochronę antymalware klientów SpyHunter

Szukaj

Zmieniać region

Kampania szpiegowska Czerwonych Menshenów

Cyfrowe komórki uśpione: zaawansowane techniki trwałości

BPFDoor: Niewidzialne tylne drzwi w jądrze

Początkowe zagrożenie: wykorzystanie infrastruktury brzegowej

Architektura dwukomponentowa: kontrola i aktywacja

Nadzór na poziomie telekomunikacyjnym: poza tradycyjnymi tylnymi drzwiami

Nowe uniki: nowe warianty i ulepszenia w zakresie skradania się

Ewolucja handlu: głębiej w stos

Wnioski: Nowa granica w cybernetycznym szpiegostwie

Prześlij komentarz

Popularne

VENON Banking Malware

Złodziej SHub

Threatcleaner.info

Najczęściej oglądane

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Discord pokazuje czarny ekran podczas udostępniania...

Eporner.com