Шпијунска кампања Црвених Меншена
Упорна и високо стратешка кампања сајбер шпијунаже повезана са актером претње повезаним са Кином успешно се уградила у телекомуникационе мреже. Примарни циљ је надгледање и инфилтрација владине инфраструктуре коришћењем телекомуникационих окружења као капије.
Ова дуготрајна операција приписује се групи претњи познатој као Ред Меншен, која се прати и под псеудонимима као што су Earth Bluecrow, DecisiveArchitect и Red Dev 18. Од најмање 2021. године, група је константно циљала телекомуникационе провајдере широм Блиског истока и Азије, успостављајући дубоко укорењен и тајни приступ унутар критичних система.
Преглед садржаја
Дигиталне ћелије спавања: Напредне технике перзистенције
Истраживачи безбедности окарактерисали су механизме приступа коришћене у овој кампањи као једне од најприкривенијих икада примећених у телекомуникационим мрежама. Ове технике функционишу попут дигиталних ћелија за спавање, остајући успаване и неоткривене док се не активирају.
Нападачи се ослањају на комбинацију веома напредних алата и техника, укључујући:
- Имплантати на нивоу језгра који функционишу дубоко унутар оперативног система
- Пасивни задњи врати који избегавају традиционалне методе откривања
- Услужни програми за прикупљање поверљивих података за приступ
- Вишеплатформски оквири за командовање и контролу који омогућавају флексибилне операције
Ове могућности омогућавају актеру претње да одржи дугорочну постојаност уз минимизирање детектабилних активности.
BPFDoor: Невидљива задња врата у језгру
У средишту ове кампање налази сеBPFDoor , задња врата базирана на Линуксу која представља пример прикривености и софистицираности. За разлику од традиционалног злонамерног софтвера, овај имплантат избегава стварање детектованих мрежних индикатора.
Уместо отварања портова или одржавања видљивих комуникационих канала, BPFDoor користи функционалност Berkeley Packet Filter (BPF) унутар Linux језгра. Он интерно прегледа мрежни саобраћај и активира се само када прими посебно креиран „магични“ пакет.
Овај дизајн елиминише потребу за сталним слушаоцима или активностима праћења, ефикасно уграђујући скривени механизам приступа директно у оперативни систем. Резултат је практично невидљива улазна тачка коју је изузетно тешко открити конвенционалним алатима за праћење.
Почетни компромис: Искоришћавање рубне инфраструктуре
Ланац напада обично почиње циљањем система и уређаја на рубу мреже окренутих интернету. То укључује VPN пролазе, заштитне зидове и веб сервисе, посебно оне повезане са главним пословним технологијама.
Када се оствари почетни приступ, нападачи користе пакет алата након експлоатације како би проширили своју контролу. То укључује фрејмворке попут CrossC2, заједно са Sliver, TinyShell, кејлогерима и алатима за грубу силу. Заједно, ови алати омогућавају прикупљање података, интерно извиђање и бочно кретање кроз угрожена окружења.
Двокомпонентна архитектура: контрола и активација
BPFDoor функционише кроз дводелну архитектуру дизајнирану за прецизност и прикривеност. Једна компонента се налази на компромитованом систему, пасивно пратећи долазни саобраћај у потрази за унапред дефинисаним окидачким пакетом. Након детекције, активира се покретањем удаљене шкољке.
Друга компонента је контролер којим управља нападач. Овај контролер шаље посебно креиране пакете за активирање имплантата и може да функционише и унутар окружења жртве. Када се примени интерно, може се прикрити као легитимни системски процеси, координирати додатне инфекције и олакшати контролисано латерално кретање између система.
Надзор на нивоу телекомуникација: Више од традиционалних задњих врата
Одређене варијанте BPFDoor-а показују могућности које превазилазе стандардну функционалност задњих врата. Подршка за Stream Control Transmission Protocol (SCTP) омогућава праћење комуникација специфичних за телекомуникације.
Ова могућност омогућава нападачима да стекну увид у активности претплатника, прате понашање корисника и потенцијално одреде физичке локације појединаца од интереса. Као резултат тога, BPFDoor ефикасно служи као слој надзора уграђен у телекомуникациону инфраструктуру, пружајући дугорочну видљивост осетљивих операција са ниским нивоом шума.
Избегавање поново осмишљено: Нове варијанте и побољшања прикривености
Новоидентификована варијанта BPFDoor-а уводи архитектонска побољшања дизајнирана да побољшају избегавање и дуговечност. Кључна побољшања укључују:
- Прикривање окидачких пакета унутар наизглед легитимног HTTPS саобраћаја
- Примена фиксног бајт офсета маркера („9999“) за поуздано откривање активације
- Увођење ICMP-базиране комуникације између заражених хостова за интеракцију ниског профила
Ове технике омогућавају да се злонамерни саобраћај беспрекорно уклопи са нормалном мрежном активношћу, значајно смањујући вероватноћу откривања уз одржавање поузданог извршавања команди.
Еволуција занатства: Дубље у стек
Кампања истиче ширу промену у методологији нападача. Уместо да се ослањају искључиво на злонамерни софтвер у корисничком простору, противници све више уграђују имплантате дубље у рачунарски стек, посебно на нивоу језгра и инфраструктуре.
Телекомуникациона окружења су посебно атрактивне мете због своје сложености, која укључује системе без икаквих додатних функција, слојеве виртуелизације, високоперформансни мрежни хардвер и контејнеризоване 4G/5G основне компоненте. Интеграцијом са легитимним сервисима и окружењима за извршавање, ови имплантати могу да избегну традиционалну одбрану крајњих тачака и да остану неоткривени током дужег периода.
Закључак: Нова граница у сајбер шпијунажи
Ова кампања показује значајну еволуцију у тактикама сајбер шпијунаже. Коришћењем телекомуникационе инфраструктуре и механизама прикривености на нивоу језгра, нападачи постижу дугорочан, неприметан приступ веома осетљивим окружењима.
Употреба напредних алата попут BPFDoor-а, у комбинацији са иновативним техникама избегавања и дубоком системском интеграцијом, сигнализира све већи изазов за браниоце. Откривање и ублажавање таквих претњи захтева побољшану видљивост у ниже слојеве рачунарског стека и преиспитивање традиционалних безбедносних приступа.
