แคมเปญจารกรรมของเรดเมนเชน
ปฏิบัติการจารกรรมทางไซเบอร์ที่ต่อเนื่องและมีกลยุทธ์สูง ซึ่งเชื่อมโยงกับผู้ก่อภัยคุกคามที่ได้รับการสนับสนุนจากจีน ได้แทรกซึมเข้าไปในเครือข่ายโทรคมนาคมได้สำเร็จแล้ว วัตถุประสงค์หลักคือการสอดแนมและแทรกซึมโครงสร้างพื้นฐานที่เกี่ยวข้องกับภาครัฐ โดยใช้สภาพแวดล้อมด้านโทรคมนาคมเป็นประตูสู่ระบบ
ปฏิบัติการที่ดำเนินมาอย่างยาวนานนี้เป็นฝีมือของกลุ่มภัยคุกคามที่รู้จักกันในชื่อ Red Menshen ซึ่งมีชื่อเรียกอื่นๆ เช่น Earth Bluecrow, DecisiveArchitect และ Red Dev 18 นับตั้งแต่ปี 2021 เป็นต้นมา กลุ่มนี้ได้โจมตีผู้ให้บริการโทรคมนาคมทั่วตะวันออกกลางและเอเชียอย่างต่อเนื่อง โดยสร้างการเข้าถึงที่ลึกซึ้งและลับๆ ภายในระบบที่สำคัญ
สารบัญ
หน่วยปฏิบัติการลับดิจิทัล: เทคนิคการคงอยู่ขั้นสูง
นักวิจัยด้านความปลอดภัยได้ระบุลักษณะกลไกการเข้าถึงที่ใช้ในแคมเปญนี้ว่าเป็นหนึ่งในกลไกที่ปกปิดมากที่สุดเท่าที่เคยพบเห็นในเครือข่ายโทรคมนาคม เทคนิคเหล่านี้ทำงานเหมือนเซลล์แฝงดิจิทัล โดยจะซ่อนตัวและตรวจไม่พบจนกว่าจะถูกเปิดใช้งาน
ผู้โจมตีอาศัยการผสมผสานของเครื่องมือและเทคนิคขั้นสูง ซึ่งรวมถึง:
- อิมแพลนต์ระดับเคอร์เนลที่ทำงานลึกเข้าไปในระบบปฏิบัติการ
- ช่องโหว่แบบพาสซีฟที่หลีกเลี่ยงวิธีการตรวจจับแบบดั้งเดิม
- โปรแกรมยูทิลิตี้สำหรับเก็บรวบรวมข้อมูลการเข้าถึงที่มีความละเอียดอ่อน
- กรอบการทำงานควบคุมและสั่งการข้ามแพลตฟอร์มที่ช่วยให้การปฏิบัติงานมีความยืดหยุ่น
ความสามารถเหล่านี้ช่วยให้ผู้โจมตีสามารถคงอยู่ในการโจมตีได้ในระยะยาว ในขณะเดียวกันก็ลดกิจกรรมที่ตรวจจับได้ให้น้อยที่สุด
BPFDoor: ช่องโหว่ลับในเคอร์เนล
หัวใจสำคัญของแคมเปญนี้คือBPFDoor ซึ่งเป็นแบ็กดอร์บนระบบลินุกซ์ที่แสดงให้เห็นถึงความลับและความซับซ้อน แตกต่างจากมัลแวร์ทั่วไป มัลแวร์ตัวนี้หลีกเลี่ยงการสร้างตัวบ่งชี้เครือข่ายที่สามารถตรวจจับได้
แทนที่จะเปิดพอร์ตหรือรักษาช่องทางการสื่อสารที่มองเห็นได้ BPFDoor ใช้ประโยชน์จากฟังก์ชัน Berkeley Packet Filter (BPF) ภายในเคอร์เนลของ Linux โดยจะตรวจสอบการรับส่งข้อมูลเครือข่ายภายในและจะทำงานก็ต่อเมื่อได้รับแพ็กเก็ต 'วิเศษ' ที่สร้างขึ้นเป็นพิเศษเท่านั้น
การออกแบบนี้ช่วยขจัดความจำเป็นในการใช้ตัวรับฟังอย่างต่อเนื่องหรือการส่งสัญญาณบอกตำแหน่ง ทำให้กลไกการเข้าถึงที่ซ่อนเร้นถูกฝังไว้ในระบบปฏิบัติการโดยตรง ผลลัพธ์ที่ได้คือจุดเข้าถึงที่แทบมองไม่เห็น ซึ่งตรวจจับได้ยากมากด้วยเครื่องมือตรวจสอบแบบเดิม ๆ
การโจมตีเบื้องต้น: การใช้ประโยชน์จากโครงสร้างพื้นฐานส่วนปลาย (Edge Infrastructure)
โดยทั่วไปแล้ว ห่วงโซ่การโจมตีจะเริ่มต้นด้วยการกำหนดเป้าหมายไปที่ระบบที่เชื่อมต่อกับอินเทอร์เน็ตและอุปกรณ์ปลายทาง ซึ่งรวมถึงเกตเวย์ VPN ไฟร์วอลล์ และบริการที่เชื่อมต่อกับเว็บ โดยเฉพาะอย่างยิ่งบริการที่เกี่ยวข้องกับเทคโนโลยีระดับองค์กรขนาดใหญ่
เมื่อเข้าถึงระบบได้แล้ว ผู้โจมตีจะใช้ชุดเครื่องมือหลังการเจาะระบบเพื่อขยายการควบคุม ซึ่งรวมถึงเฟรมเวิร์กอย่าง CrossC2 รวมถึง Sliver, TinyShell, โปรแกรมดักจับแป้นพิมพ์ และยูทิลิตี้สำหรับการโจมตีแบบ Brute-force เครื่องมือเหล่านี้ร่วมกันทำให้สามารถเก็บรวบรวมข้อมูลประจำตัว สอดแนมภายใน และเคลื่อนที่ไปยังส่วนต่างๆ ของระบบที่ถูกบุกรุกได้
สถาปัตยกรรมแบบสององค์ประกอบ: การควบคุมและการเปิดใช้งาน
BPFDoor ทำงานผ่านสถาปัตยกรรมสองส่วนที่ออกแบบมาเพื่อความแม่นยำและการพรางตัว ส่วนประกอบหนึ่งจะอยู่บนระบบที่ถูกบุกรุก คอยตรวจสอบการรับส่งข้อมูลขาเข้าอย่างเงียบๆ เพื่อหาแพ็กเก็ตทริกเกอร์ที่กำหนดไว้ล่วงหน้า เมื่อตรวจพบแล้ว มันจะทำงานโดยการสร้างเชลล์ระยะไกลขึ้นมา
ส่วนประกอบที่สองคือตัวควบคุมที่ผู้โจมตีใช้งาน ตัวควบคุมนี้จะส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษเพื่อเปิดใช้งานมัลแวร์ และยังสามารถทำงานภายในสภาพแวดล้อมของเหยื่อได้อีกด้วย เมื่อถูกติดตั้งภายใน มันสามารถปลอมตัวเป็นกระบวนการของระบบที่ถูกต้อง ประสานงานการติดเชื้อเพิ่มเติม และอำนวยความสะดวกในการเคลื่อนย้ายข้ามระบบอย่างเป็นระบบ
การเฝ้าระวังระดับโทรคมนาคม: เหนือกว่าช่องโหว่แบบดั้งเดิม
BPFDoor บางเวอร์ชันแสดงให้เห็นถึงความสามารถที่เหนือกว่าฟังก์ชันแบ็กดอร์มาตรฐาน การรองรับโปรโตคอล Stream Control Transmission Protocol (SCTP) ทำให้สามารถตรวจสอบการสื่อสารเฉพาะด้านโทรคมนาคมได้
ความสามารถนี้ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลเชิงลึกเกี่ยวกับกิจกรรมของผู้สมัครใช้บริการ ติดตามพฤติกรรมของผู้ใช้ และอาจระบุตำแหน่งทางกายภาพของบุคคลเป้าหมายได้ ด้วยเหตุนี้ BPFDoor จึงทำหน้าที่เป็นชั้นการเฝ้าระวังที่ฝังอยู่ภายในโครงสร้างพื้นฐานด้านโทรคมนาคมอย่างมีประสิทธิภาพ ซึ่งให้การมองเห็นในระยะยาวและมีสัญญาณรบกวนต่ำต่อการดำเนินงานที่ละเอียดอ่อน
การหลบหลีกที่ได้รับการพัฒนาใหม่: รูปแบบใหม่และการเสริมประสิทธิภาพการซ่อนตัว
BPFDoor รุ่นใหม่ที่เพิ่งค้นพบนี้ นำเสนอการปรับปรุงทางสถาปัตยกรรมที่ออกแบบมาเพื่อเพิ่มประสิทธิภาพในการหลบหลีกและอายุการใช้งานที่ยาวนานขึ้น ความก้าวหน้าที่สำคัญ ได้แก่:
- การซ่อนแพ็กเก็ตทริกเกอร์ไว้ภายในทราฟฟิก HTTPS ที่ดูเหมือนถูกต้องตามกฎหมาย
- บังคับใช้เครื่องหมายออฟเซ็ตไบต์คงที่ ('9999') เพื่อการตรวจจับการเปิดใช้งานที่เชื่อถือได้
- นำเสนอการสื่อสารแบบ ICMP ระหว่างโฮสต์ที่ติดเชื้อเพื่อการโต้ตอบที่ไม่เปิดเผยตัวตน
เทคนิคเหล่านี้ช่วยให้ทราฟฟิกที่เป็นอันตรายสามารถผสมผสานเข้ากับกิจกรรมเครือข่ายปกติได้อย่างราบรื่น ลดโอกาสในการตรวจจับได้อย่างมาก ในขณะเดียวกันก็ยังคงรักษาความน่าเชื่อถือในการดำเนินการคำสั่ง
วิวัฒนาการของเทคนิคการค้า: เจาะลึกลงไปในระบบ
แคมเปญนี้เน้นให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นในวิธีการโจมตี แทนที่จะพึ่งพามัลแวร์ในพื้นที่ผู้ใช้เพียงอย่างเดียว ผู้โจมตีกลับฝังมัลแวร์ลงไปในระบบประมวลผลลึกขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งในระดับเคอร์เนลและโครงสร้างพื้นฐาน
สภาพแวดล้อมด้านโทรคมนาคมเป็นเป้าหมายที่น่าดึงดูดเป็นพิเศษเนื่องจากมีความซับซ้อน ซึ่งรวมถึงระบบแบบ bare-metal, เลเยอร์เวอร์ชวลไลเซชัน, ฮาร์ดแวร์เครือข่ายประสิทธิภาพสูง และส่วนประกอบหลัก 4G/5G ที่อยู่ในคอนเทนเนอร์ ด้วยการผสานรวมเข้ากับบริการและสภาพแวดล้อมการทำงานที่ถูกต้องตามกฎหมาย มัลแวร์เหล่านี้สามารถหลบเลี่ยงการป้องกันปลายทางแบบดั้งเดิมและคงอยู่โดยไม่ถูกตรวจพบเป็นเวลานาน
บทสรุป: พรมแดนใหม่แห่งการจารกรรมทางไซเบอร์
แคมเปญนี้แสดงให้เห็นถึงวิวัฒนาการที่สำคัญในกลยุทธ์การจารกรรมทางไซเบอร์ โดยการใช้ประโยชน์จากโครงสร้างพื้นฐานด้านโทรคมนาคมและกลไกการซ่อนตัวในระดับเคอร์เนล ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมที่มีความอ่อนไหวสูงได้ในระยะยาวโดยไม่ให้ถูกตรวจพบ
การใช้เครื่องมือขั้นสูง เช่น BPFDoor ร่วมกับเทคนิคการหลบเลี่ยงที่ล้ำสมัยและการบูรณาการระบบอย่างลึกซึ้ง บ่งชี้ถึงความท้าทายที่เพิ่มขึ้นสำหรับผู้ป้องกัน การตรวจจับและลดภัยคุกคามดังกล่าวจำเป็นต้องมีข้อมูลเชิงลึกที่มากขึ้นในระดับล่างของระบบประมวลผล และการปรับเปลี่ยนแนวทางการรักษาความปลอดภัยแบบดั้งเดิม
