Špionážna kampaň Červených Menšenov
Pretrvávajúca a vysoko strategická kybernetická špionážna kampaň prepojená s čínskou hrozbou sa úspešne začlenila do telekomunikačných sietí. Hlavným cieľom je monitorovať a infiltrovať vládnu infraštruktúru využitím telekomunikačného prostredia ako brány.
Táto dlhotrvajúca operácia sa pripisuje skupine hrozieb známej ako Red Menshen, ktorá je sledovaná aj pod prezývkami ako Earth Bluecrow, DecisiveArchitect a Red Dev 18. Od roku 2021 sa skupina neustále zameriava na poskytovateľov telekomunikačných služieb na Blízkom východe a v Ázii a získava hlboko zakorenený a skrytý prístup v rámci kritických systémov.
Obsah
Digitálne spiace bunky: Pokročilé techniky perzistencie
Bezpečnostní výskumníci charakterizovali prístupové mechanizmy použité v tejto kampani ako jedny z najtajnejších, aké boli kedy v telekomunikačných sieťach pozorované. Tieto techniky fungujú ako digitálne spiace bunky, ktoré zostávajú neaktívne a nezistené, kým nie sú aktivované.
Útočníci sa spoliehajú na kombináciu vysoko pokročilých nástrojov a techník vrátane:
- Implantáty na úrovni jadra, ktoré fungujú hlboko v operačnom systéme
- Pasívne zadné vrátka, ktoré sa vyhýbajú tradičným metódam detekcie
- Nástroje na získavanie poverení na zhromažďovanie citlivých prístupových údajov
- Multiplatformové rámce velenia a riadenia umožňujúce flexibilné operácie
Tieto schopnosti umožňujú aktérovi hrozby udržiavať dlhodobú pretrvávajúcu aktivitu a zároveň minimalizovať detekovateľnú aktivitu.
BPFDoor: Neviditeľné zadné vrátka v jadre
V centre tejto kampane jeBPFDoor , backdoor založený na Linuxe, ktorý je stelesnením nenápadnosti a sofistikovanosti. Na rozdiel od tradičného malvéru sa tento implantát vyhýba vytváraniu detekovateľných sieťových indikátorov.
Namiesto otvárania portov alebo udržiavania viditeľných komunikačných kanálov využíva BPFDoor funkciu Berkeley Packet Filter (BPF) v jadre Linuxu. Interne kontroluje sieťovú prevádzku a aktivuje sa iba vtedy, keď prijme špeciálne vytvorený „magický“ paket.
Tento dizajn eliminuje potrebu perzistentných poslucháčov alebo signálov a efektívne zabudováva skrytý mechanizmus prístupu priamo do operačného systému. Výsledkom je prakticky neviditeľný vstupný bod, ktorý je mimoriadne ťažké odhaliť pomocou konvenčných monitorovacích nástrojov.
Počiatočný kompromis: Využívanie edge infraštruktúry
Útočný reťazec sa zvyčajne začína zameraním na systémy a edge zariadenia s pripojením na internet. Patria sem VPN brány, firewally a webové služby, najmä tie, ktoré sú spojené s hlavnými podnikovými technológiami.
Po získaní počiatočného prístupu útočníci nasadia sadu nástrojov na rozšírenie svojej kontroly, ktoré sa používajú po zneužití. Patria sem frameworky ako CrossC2, spolu so Sliverom a TinyShellom, keyloggery a nástroje na hrubú silu. Tieto nástroje spolu umožňujú získavanie prihlasovacích údajov, interný prieskum a laterálny pohyb v kompromitovaných prostrediach.
Dvojkomponentná architektúra: Riadenie a aktivácia
BPFDoor funguje na základe dvojdielnej architektúry navrhnutej pre presnosť a nenápadnosť. Jedna zložka sa nachádza v napadnutom systéme a pasívne monitoruje prichádzajúcu prevádzku a hľadá vopred definovaný spúšťací paket. Po detekcii sa aktivuje spustením vzdialeného shellu.
Druhou zložkou je ovládač, ktorý ovláda útočník. Tento ovládač odosiela špeciálne vytvorené pakety na aktiváciu implantátov a môže fungovať aj v prostredí obete. Pri internom nasadení sa môže maskovať ako legitímne systémové procesy, koordinovať ďalšie infekcie a uľahčovať kontrolovaný laterálny pohyb medzi systémami.
Dohľad na telekomunikačnej úrovni: Viac než tradičné zadné vrátka
Niektoré varianty BPFDoor vykazujú možnosti, ktoré presahujú štandardnú funkcionalitu zadných vrátok. Podpora protokolu Stream Control Transmission Protocol (SCTP) umožňuje monitorovanie komunikácie špecifickej pre telekomunikačné zariadenia.
Táto funkcia umožňuje útočníkom získať prehľad o aktivite predplatiteľov, sledovať ich správanie a potenciálne určiť fyzickú polohu osôb, ktoré ich zaujímajú. Vďaka tomu BPFDoor efektívne slúži ako vrstva dohľadu zabudovaná do telekomunikačnej infraštruktúry a poskytuje dlhodobý a nenápadný prehľad o citlivých operáciách.
Únik prepracovaný: Nové varianty a vylepšenia nenápadnosti
Novo identifikovaný variant BPFDoor zavádza architektonické vylepšenia určené na zvýšenie úniku a zvýšenie životnosti. Medzi kľúčové vylepšenia patria:
- Skrývanie spúšťacích paketov v zdanlivo legitímnej HTTPS prevádzke
- Vynútenie pevnej značky bajtového posunu („9999“) pre spoľahlivú detekciu aktivácie
- Zavádzanie komunikácie založenej na protokole ICMP medzi infikovanými hostiteľmi pre nenápadnú interakciu
Tieto techniky umožňujú škodlivej prevádzke bezproblémovo prechádzať s bežnou sieťovou aktivitou, čím výrazne znižujú pravdepodobnosť odhalenia a zároveň zachovávajú spoľahlivé vykonávanie príkazov.
Vyvíjajúce sa remeslo: Hlbšie do zásoby
Kampaň zdôrazňuje širší posun v metodológii útočníkov. Namiesto toho, aby sa útočníci spoliehali výlučne na malvér v používateľskom priestore, čoraz viac zavádzajú implantáty hlbšie do výpočtového stacku, najmä na úrovni jadra a infraštruktúry.
Telekomunikačné prostredia sú obzvlášť atraktívnymi cieľmi kvôli svojej komplexnosti, ktorá zahŕňa systémy typu „holé železo“, virtualizačné vrstvy, vysokovýkonný sieťový hardvér a kontajnerizované základné komponenty 4G/5G. Integráciou s legitímnymi službami a runtime prostrediami môžu tieto implantáty obísť tradičnú ochranu koncových bodov a zostať dlhodobo nepozorované.
Záver: Nová hranica v kybernetickej špionáži
Táto kampaň demonštruje významný vývoj v taktikách kybernetickej špionáže. Využitím telekomunikačnej infraštruktúry a mechanizmov stealth na úrovni jadra útočníci dosahujú dlhodobý a nenápadný prístup k vysoko citlivým prostrediam.
Používanie pokročilých nástrojov, ako je BPFDoor, v kombinácii s inovatívnymi technikami obchádzania a hlbokou integráciou systému signalizuje rastúcu výzvu pre obrancov. Detekcia a zmierňovanie takýchto hrozieb si vyžaduje lepšiu viditeľnosť do nižších vrstiev výpočtového systému a prehodnotenie tradičných bezpečnostných prístupov.
