Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Campania de spionaj Red Menshen

Campania de spionaj Red Menshen

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

O campanie de ciberspionaj persistentă și extrem de strategică, legată de un actor aliniat cu China, s-a integrat cu succes în rețelele de telecomunicații. Obiectivul principal este de a supraveghea și infiltra infrastructura guvernamentală, utilizând mediile de telecomunicații ca poartă de acces.

Această operațiune de lungă durată este atribuită grupului de amenințări cunoscut sub numele de Red Menshen, urmărit și sub aliasuri precum Earth Bluecrow, DecisiveArchitect și Red Dev 18. Din cel puțin 2021, grupul a vizat în mod constant furnizorii de telecomunicații din Orientul Mijlociu și Asia, stabilind acces secret și profund înrădăcinat în cadrul sistemelor critice.

Celule digitale adormite: Tehnici avansate de persistență

Cercetătorii în domeniul securității au caracterizat mecanismele de acces utilizate în această campanie ca fiind printre cele mai secrete observate vreodată în rețelele de telecomunicații. Aceste tehnici funcționează ca niște celule digitale inactive, rămânând inactive și nedetectate până la activare.

Atacatorii se bazează pe o combinație de instrumente și tehnici extrem de avansate, inclusiv:

  • Implanturi la nivel de kernel care operează în profunzimea sistemului de operare
  • Backdoor-uri pasive care evită metodele tradiționale de detectare
  • Utilitare de colectare a acreditărilor pentru colectarea datelor de acces sensibile
  • Cadre de comandă și control multi-platformă care permit operațiuni flexibile

Aceste capabilități permit actorului amenințător să mențină persistența pe termen lung, reducând în același timp activitatea detectabilă.

BPFDoor: Ușa din spate invizibilă din kernel

În centrul acestei campanii se aflăBPFDoor , un backdoor bazat pe Linux care exemplifică ascunderea și sofisticarea. Spre deosebire de programele malware tradiționale, acest implant evită crearea de indicatori de rețea detectabili.

În loc să deschidă porturi sau să mențină canale de comunicație vizibile, BPFDoor exploatează funcționalitatea Berkeley Packet Filter (BPF) din kernelul Linux. Acesta inspectează intern traficul de rețea și se activează doar atunci când primește un pachet „magic” special conceput.

Acest design elimină necesitatea unor listener-e persistente sau a activității de beaconing, integrând efectiv un mecanism de acces ascuns direct în sistemul de operare. Rezultatul este un punct de intrare practic invizibil, extrem de dificil de detectat prin instrumentele convenționale de monitorizare.

Compromis inițial: Exploatarea infrastructurii Edge

Lanțul de atac începe de obicei prin vizarea sistemelor și a dispozitivelor de la marginea rețelei, care au acces la internet. Acestea includ gateway-uri VPN, firewall-uri și servicii web, în special cele asociate cu tehnologiile majore ale întreprinderilor.

Odată ce accesul inițial este obținut, atacatorii implementează o suită de instrumente post-exploatare pentru a-și extinde controlul. Acestea includ framework-uri precum CrossC2, împreună cu Sliver, TinyShell, keylogger-e și utilitare brute-force. Împreună, aceste instrumente permit recoltarea credențialelor, recunoașterea internă și mișcarea laterală în mediile compromise.

Arhitectură cu două componente: Control și activare

BPFDoor funcționează printr-o arhitectură din două părți, concepută pentru precizie și discreție. O componentă se află pe sistemul compromis, monitorizând pasiv traficul de intrare pentru un pachet de declanșare predefinit. La detectare, se activează prin generarea unui shell la distanță.

A doua componentă este un controler operat de atacator. Acest controler trimite pachete special concepute pentru a activa implanturile și poate funcționa și în mediul victimei. Atunci când este implementat intern, se poate deghiza în procese legitime de sistem, poate coordona infecții suplimentare și poate facilita mișcarea laterală controlată între sisteme.

Supraveghere la nivel de telecomunicații: Dincolo de backdoor-urile tradiționale

Anumite variante ale BPFDoor demonstrează capabilități care se extind dincolo de funcționalitatea standard a backdoor-ului. Suportul pentru Stream Control Transmission Protocol (SCTP) permite monitorizarea comunicațiilor specifice telecomunicațiilor.

Această capacitate permite atacatorilor să obțină informații despre activitatea abonaților, să urmărească comportamentul utilizatorilor și, eventual, să determine locațiile fizice ale persoanelor de interes. Prin urmare, BPFDoor servește eficient ca un strat de supraveghere integrat în infrastructura de telecomunicații, oferind vizibilitate pe termen lung, cu zgomot redus, asupra operațiunilor sensibile.

Evaziunea Reinventată: Variante Noi și Îmbunătățiri ale Ascunderii

O variantă recent identificată a ușii BPFDoor introduce îmbunătățiri arhitecturale menite să sporească evaziunea și longevitatea. Printre progresele cheie se numără:

  • Ascunderea pachetelor declanșatoare în trafic HTTPS aparent legitim
  • Aplicarea unui marker de offset fix de octeți („9999”) pentru detectarea fiabilă a activării
  • Introducerea comunicării bazate pe ICMP între gazdele infectate pentru interacțiune cu profil redus

Aceste tehnici permit traficului malițios să se îmbine perfect cu activitatea normală a rețelei, reducând semnificativ probabilitatea de detectare, menținând în același timp execuția fiabilă a comenzilor.

Evoluția meșteșugului comercial: Mai adânc în stivă

Campania evidențiază o schimbare mai amplă în metodologia atacatorilor. În loc să se bazeze exclusiv pe programe malware în spațiul utilizatorului, adversarii integrează din ce în ce mai mult implanturi mai adânc în stiva de calcul, în special la nivel de kernel și infrastructură.

Mediile de telecomunicații sunt ținte deosebit de atractive datorită complexității lor, care include sisteme bare-metal, straturi de virtualizare, hardware de rețea de înaltă performanță și componente de bază 4G/5G containerizate. Prin integrarea cu servicii legitime și medii de execuție, aceste implanturi pot evita apărarea tradițională a endpoint-urilor și pot persista nedetectate pentru perioade lungi de timp.

Concluzie: O nouă frontieră în spionajul cibernetic

Această campanie demonstrează o evoluție semnificativă în tacticile de spionaj cibernetic. Prin valorificarea infrastructurii de telecomunicații și a mecanismelor stealth la nivel de kernel, atacatorii obțin acces pe termen lung, cu vizibilitate redusă, la medii extrem de sensibile.

Utilizarea unor instrumente avansate precum BPFDoor, combinată cu tehnici inovatoare de evitare a atacurilor și integrare profundă a sistemelor, semnalează o provocare tot mai mare pentru apărători. Detectarea și atenuarea unor astfel de amenințări necesită o vizibilitate sporită asupra straturilor inferioare ale stivei de calcul și o regândire a abordărilor tradiționale de securitate.

Trending

Cele mai văzute

Se încarcă...