Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Vohunska kampanja Rdečih Menšenov

Vohunska kampanja Rdečih Menšenov

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Vztrajna in zelo strateška kampanja kibernetskega vohunjenja, povezana s Kitajsko povezanim akterjem grožnje, se je uspešno vgradila v telekomunikacijska omrežja. Glavni cilj je nadzor in infiltracija v vladno infrastrukturo z izkoriščanjem telekomunikacijskih okolij kot prehoda.

Ta dolgotrajna operacija se pripisuje skupini groženj, znani kot Red Menshen, ki jo spremljajo tudi pod psevdonimi, kot so Earth Bluecrow, DecisiveArchitect in Red Dev 18. Skupina je vsaj od leta 2021 dosledno ciljala na ponudnike telekomunikacijskih storitev po Bližnjem vzhodu in Aziji ter vzpostavljala globoko zakoreninjen in prikrit dostop znotraj kritičnih sistemov.

Digitalne spalne celice: napredne tehnike vztrajnosti

Varnostni raziskovalci so mehanizme dostopa, uporabljene v tej kampanji, označili za ene najbolj prikritih, kar so jih kdaj opazili v telekomunikacijskih omrežjih. Te tehnike delujejo kot digitalne spalne celice, ki ostanejo mirujoče in neopažene, dokler se ne aktivirajo.

Napadalci se zanašajo na kombinacijo zelo naprednih orodij in tehnik, vključno z:

  • Vsadki na ravni jedra, ki delujejo globoko v operacijskem sistemu
  • Pasivna zadnja vrata, ki se izogibajo tradicionalnim metodam odkrivanja
  • Pripomočki za pridobivanje poverilnic za zbiranje občutljivih podatkov o dostopu
  • Medplatformski okviri za upravljanje in nadzor, ki omogočajo prilagodljivo delovanje

Te zmogljivosti omogočajo akterju grožnje, da ohrani dolgoročno prisotnost, hkrati pa zmanjša zaznavno aktivnost.

BPFDoor: Nevidna zadnja vrata v jedru

V središču te kampanje jeBPFDoor , zadnja vrata, ki temeljijo na Linuxu in sofisticiranost. Za razliko od tradicionalne zlonamerne programske opreme se ta vsadek izogiba ustvarjanju zaznavnih omrežnih indikatorjev.

Namesto odpiranja vrat ali vzdrževanja vidnih komunikacijskih kanalov BPFDoor izkorišča funkcionalnost Berkeley Packet Filter (BPF) znotraj jedra Linuxa. Pregleduje omrežni promet interno in se aktivira le, ko prejme posebej oblikovan »čarobni« paket.

Ta zasnova odpravlja potrebo po vztrajnih poslušalcih ali dejavnosti odkrivanja, saj učinkovito vgrajuje skriti mehanizem dostopa neposredno v operacijski sistem. Rezultat je praktično nevidna vstopna točka, ki jo je izjemno težko zaznati s konvencionalnimi orodji za spremljanje.

Začetni kompromis: izkoriščanje robne infrastrukture

Veriga napadov se običajno začne s ciljanjem na sisteme, ki so dostopni do interneta, in robne naprave. Sem spadajo VPN prehodi, požarni zidovi in spletne storitve, zlasti tiste, ki so povezane z večjimi poslovnimi tehnologijami.

Ko je dosežen začetni dostop, napadalci uporabijo nabor orodij za naknadno izkoriščanje, da bi razširili svoj nadzor. Ta vključujejo ogrodja, kot je CrossC2, skupaj s Sliverjem in TinyShellom, programi za beleženje tipk in pripomočki za grobo silo. Ta orodja skupaj omogočajo pridobivanje poverilnic, notranje izvidovanje in lateralno premikanje po ogroženih okoljih.

Dvokomponentna arhitektura: nadzor in aktivacija

BPFDoor deluje prek dvodelne arhitekture, zasnovane za natančnost in prikritost. Ena komponenta se nahaja na ogroženem sistemu in pasivno spremlja dohodni promet za vnaprej določen sprožilni paket. Ob zaznavi se aktivira z zagonom oddaljene lupine.

Druga komponenta je krmilnik, ki ga upravlja napadalec. Ta krmilnik pošilja posebej oblikovane pakete za aktiviranje vsadkov in lahko deluje tudi v okolju žrtve. Ko je nameščen interno, se lahko prikrije kot legitimni sistemski procesi, koordinira dodatne okužbe in omogoča nadzorovano lateralno gibanje med sistemi.

Nadzor na telekomunikacijski ravni: Onkraj tradicionalnih zadnjih vrat

Nekatere različice BPFDoorja kažejo zmogljivosti, ki presegajo standardno funkcionalnost zadnjih vrat. Podpora za protokol Stream Control Transmission Protocol (SCTP) omogoča spremljanje komunikacij, specifičnih za telekomunikacije.

Ta zmožnost napadalcem omogoča vpogled v dejavnost naročnikov, sledenje vedenju uporabnikov in morebitno določanje fizičnih lokacij posameznikov, ki jih zanimajo. Posledično BPFDoor učinkovito služi kot nadzorna plast, vgrajena v telekomunikacijsko infrastrukturo, ki zagotavlja dolgoročno in tiho vidljivost občutljivih operacij.

Izogibanje na novo: Nove različice in izboljšave prikritosti

Novo odkrita različica BPFDoor uvaja arhitekturne izboljšave, namenjene izboljšanju izogibanja in daljše življenjske dobe. Ključne izboljšave vključujejo:

  • Prikrivanje sprožilnih paketov v navidezno legitimnem prometu HTTPS
  • Uveljavljanje fiksnega označevalnika odmika bajtov ('9999') za zanesljivo zaznavanje aktivacije
  • Uvedba komunikacije na osnovi ICMP med okuženimi gostitelji za neopazno interakcijo

Te tehnike omogočajo, da se zlonamerni promet neopazno zlije z običajno omrežno aktivnostjo, kar znatno zmanjša verjetnost odkritja, hkrati pa ohranja zanesljivo izvajanje ukazov.

Razvoj obrtništva: globlje v skladišče

Kampanja poudarja širši premik v metodologiji napadalcev. Namesto da bi se zanašali izključno na zlonamerno programsko opremo v uporabniškem prostoru, napadalci vse pogosteje vgrajujejo vsadke globlje v računalniški sklad, zlasti na ravni jedra in infrastrukture.

Telekomunikacijska okolja so še posebej privlačne tarče zaradi svoje kompleksnosti, ki vključuje sisteme z golim kovinskim materialom, virtualizacijske plasti, visokozmogljivo omrežno strojno opremo in kontejnerizirane osrednje komponente 4G/5G. Z integracijo z legitimnimi storitvami in izvajalnimi okolji se lahko ti vsadki izognejo tradicionalnim obrambnim ukrepom končnih točk in ostanejo neopaženi dlje časa.

Zaključek: Nova meja v kibernetskem vohunjenju

Ta kampanja prikazuje pomemben razvoj taktik kibernetskega vohunjenja. Z izkoriščanjem telekomunikacijske infrastrukture in mehanizmov prikrivanja na ravni jedra napadalci dosežejo dolgoročen in neopazen dostop do zelo občutljivih okolij.

Uporaba naprednih orodij, kot je BPFDoor, v kombinaciji z inovativnimi tehnikami izogibanja in globoko sistemsko integracijo nakazuje na vse večji izziv za branilce. Odkrivanje in ublažitev takšnih groženj zahteva izboljšan vpogled v nižje plasti računalniškega sklada in ponovni razmislek o tradicionalnih varnostnih pristopih.

V trendu

Najbolj gledan

Nalaganje...