Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Fushata e Spiunazhit Red Menshen

Fushata e Spiunazhit Red Menshen

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një fushatë e vazhdueshme dhe shumë strategjike e spiunazhit kibernetik e lidhur me një aktor kërcënimi të lidhur me Kinën është integruar me sukses brenda rrjeteve të telekomunikacionit. Objektivi kryesor është mbikëqyrja dhe depërtimi në infrastrukturën qeveritare duke shfrytëzuar mjediset e telekomunikacionit si një portë hyrëse.

Ky operacion afatgjatë i atribuohet grupit të kërcënimeve të njohur si Red Menshen, i cili gjurmohet gjithashtu nën pseudonime të tilla si Earth Bluecrow, DecisiveArchitect dhe Red Dev 18. Që të paktën nga viti 2021, grupi ka synuar vazhdimisht ofruesit e telekomunikacionit në të gjithë Lindjen e Mesme dhe Azinë, duke krijuar akses të fshehtë dhe të rrënjosur brenda sistemeve kritike.

Qelizat Dixhitale të Gjumit: Teknika të Avancuara të Qëndrueshmërisë

Studiuesit e sigurisë i kanë karakterizuar mekanizmat e aksesit të përdorur në këtë fushatë si ndër më të fshehtat e vërejtura ndonjëherë në rrjetet e telekomunikacionit. Këto teknika funksionojnë si qeliza dixhitale të fjetura, duke mbetur në gjumë dhe të pazbuluara derisa të aktivizohen.

Sulmuesit mbështeten në një kombinim mjetesh dhe teknikash shumë të përparuara, duke përfshirë:

  • Implantet në nivel bërthame që veprojnë thellë brenda sistemit operativ
  • Dyert e pasme pasive që shmangin metodat tradicionale të zbulimit
  • Shërbime për mbledhjen e kredencialeve për mbledhjen e të dhënave të ndjeshme të aksesit
  • Korniza komandimi dhe kontrolli ndërplatformë që mundësojnë operacione fleksibile

Këto aftësi i lejojnë aktorit kërcënues të ruajë qëndrueshmërinë afatgjatë, duke minimizuar njëkohësisht aktivitetin e dallueshëm.

BPFDoor: Dera e pasme e padukshme në bërthamë

Në qendër të kësaj fushate qëndronBPFDoor , një derë e pasme e bazuar në Linux që mishëron fshehtësinë dhe sofistikimin. Ndryshe nga programet keqdashëse tradicionale, ky implant shmang krijimin e treguesve të dallueshëm të rrjetit.

Në vend që të hapë porta ose të mirëmbajë kanale komunikimi të dukshme, BPFDoor shfrytëzon funksionalitetin e Filtrit të Paketave Berkeley (BPF) brenda kernelit Linux. Ai inspekton trafikun e rrjetit në mënyrë të brendshme dhe aktivizohet vetëm kur merr një paketë 'magjike' të krijuar posaçërisht.

Ky dizajn eliminon nevojën për dëgjues të vazhdueshëm ose aktivitet sinjalizues, duke integruar në mënyrë efektive një mekanizëm të fshehur aksesi direkt në sistemin operativ. Rezultati është një pikë hyrjeje praktikisht e padukshme që është jashtëzakonisht e vështirë për t'u zbuluar përmes mjeteve konvencionale të monitorimit.

Kompromisi fillestar: Shfrytëzimi i infrastrukturës së avantazhit

Zinxhiri i sulmit zakonisht fillon duke synuar sistemet që lidhen me internetin dhe pajisjet periferike. Këto përfshijnë porta VPN, firewall-e dhe shërbime që lidhen me internetin, veçanërisht ato që lidhen me teknologjitë kryesore të ndërmarrjeve.

Pasi të arrihet qasja fillestare, sulmuesit vendosin një sërë mjetesh pas-shfrytëzimit për të zgjeruar kontrollin e tyre. Këto përfshijnë korniza si CrossC2, së bashku me Sliver, TinyShell, keyloggers dhe shërbime brute-force. Së bashku, këto mjete mundësojnë mbledhjen e kredencialeve, zbulimin e brendshëm dhe lëvizjen anësore nëpër mjedise të kompromentuara.

Arkitektura me Komponentë të Dyfishtë: Kontrolli dhe Aktivizimi

BPFDoor operon nëpërmjet një arkitekture me dy pjesë të projektuar për precizion dhe fshehtësi. Një komponent ndodhet në sistemin e kompromentuar, duke monitoruar në mënyrë pasive trafikun hyrës për një paketë shkaktuese të paracaktuar. Pas zbulimit, aktivizohet duke krijuar një shell të largët.

Komponenti i dytë është një kontrollues i operuar nga sulmuesi. Ky kontrollues dërgon paketa të hartuara posaçërisht për të aktivizuar implantet dhe gjithashtu mund të funksionojë brenda mjedisit të viktimës. Kur vendoset brenda vendit, ai mund të maskohet si procese legjitime të sistemit, të koordinojë infeksione shtesë dhe të lehtësojë lëvizjen anësore të kontrolluar midis sistemeve.

Mbikëqyrja në Nivelin e Telekomunikacionit: Përtej Dyerve të Prapavijshme Tradicionale

Disa variante të BPFDoor demonstrojnë aftësi që shtrihen përtej funksionalitetit standard të derës së prapme. Mbështetja për Protokollin e Transmetimit të Kontrollit të Rrjedhës (SCTP) mundëson monitorimin e komunikimeve specifike të telekomunikacionit.

Kjo aftësi u lejon sulmuesve të fitojnë informacion mbi aktivitetin e pajtimtarëve, të gjurmojnë sjelljen e përdoruesve dhe potencialisht të përcaktojnë vendndodhjet fizike të individëve me interes. Si rezultat, BPFDoor shërben në mënyrë efektive si një shtresë mbikëqyrjeje e integruar brenda infrastrukturës së telekomunikacionit, duke ofruar dukshmëri afatgjatë dhe me zhurmë të ulët në operacionet e ndjeshme.

Shmangia e Rishpikur: Variante të Reja dhe Përmirësime të Fshehta

Një variant i sapoidentifikuar i BPFDoor prezanton përmirësime arkitekturore të dizajnuara për të rritur shmangien dhe jetëgjatësinë. Përparimet kryesore përfshijnë:

  • Fshehja e paketave shkaktuese brenda trafikut HTTPS në dukje legjitim
  • Zbatimi i një shënuesi fiks të zhvendosjes së bajtit ('9999') për zbulim të besueshëm të aktivizimit
  • Prezantimi i komunikimit të bazuar në ICMP midis hosteve të infektuar për ndërveprim me profil të ulët

Këto teknika lejojnë që trafiku keqdashës të përzihet pa probleme me aktivitetin normal të rrjetit, duke zvogëluar ndjeshëm mundësinë e zbulimit, ndërkohë që ruhet ekzekutimi i besueshëm i komandave.

Artizanati në Zhvillim: Më Thellë në Stack

Fushata nxjerr në pah një ndryshim më të gjerë në metodologjinë e sulmuesit. Në vend që të mbështeten vetëm në programet keqdashëse të hapësirës së përdoruesit, kundërshtarët po i ngulitin gjithnjë e më shumë implantet më thellë brenda sistemit kompjuterik, veçanërisht në nivelet e bërthamës dhe infrastrukturës.

Mjediset e telekomunikacionit janë objektiva veçanërisht tërheqëse për shkak të kompleksitetit të tyre, i cili përfshin sisteme të thjeshta, shtresa virtualizimi, pajisje rrjeti me performancë të lartë dhe komponentë thelbësorë 4G/5G të kontejnerizuar. Duke u integruar me shërbime legjitime dhe mjedise të kohës së ekzekutimit, këto implante mund t'i shmangen mbrojtjeve tradicionale të pikave fundore dhe të vazhdojnë të pazbuluara për periudha të gjata kohore.

Përfundim: Një Kufi i Ri në Spiunazhin Kibernetik

Kjo fushatë demonstron një evolucion të rëndësishëm në taktikat e spiunazhit kibernetik. Duke shfrytëzuar infrastrukturën e telekomunikacionit dhe mekanizmat e fshehtësisë në nivel bërthame, sulmuesit arrijnë akses afatgjatë me dukshmëri të ulët në mjedise shumë të ndjeshme.

Përdorimi i mjeteve të përparuara si BPFDoor, i kombinuar me teknikat inovative të shmangies dhe integrimin e thellë të sistemit, sinjalizon një sfidë në rritje për mbrojtësit. Zbulimi dhe zbutja e kërcënimeve të tilla kërkon dukshmëri të shtuar në shtresat më të ulëta të sistemit kompjuterik dhe një ripërcaktim të qasjeve tradicionale të sigurisë.

Në trend

Më e shikuara

Po ngarkohet...