Red Menshen Espionage Campaign

Isang patuloy at lubos na estratehikong kampanya ng cyber-espionage na nauugnay sa isang aktor ng banta na kaalyado ng Tsina ang matagumpay na naipasok sa loob ng mga network ng telekomunikasyon. Ang pangunahing layunin ay subaybayan at pasukin ang imprastraktura na may kaugnayan sa gobyerno sa pamamagitan ng paggamit ng mga kapaligiran ng telekomunikasyon bilang daanan.

Ang matagalang operasyong ito ay iniuugnay sa kumpol ng mga banta na kilala bilang Red Menshen, na sinusubaybayan din sa ilalim ng mga alyas tulad ng Earth Bluecrow, DecisiveArchitect, at Red Dev 18. Simula pa noong 2021, patuloy na tinatarget ng grupo ang mga telecom provider sa buong Gitnang Silangan at Asya, na nagtatatag ng malalim at palihim na pag-access sa loob ng mga kritikal na sistema.

Mga Digital Sleeper Cell: Mga Advanced na Teknik sa Pagtitiyaga

Inilarawan ng mga mananaliksik sa seguridad ang mga mekanismo ng pag-access na ginamit sa kampanyang ito bilang kabilang sa mga pinaka-lihim na naobserbahan sa mga network ng telecom. Ang mga pamamaraan na ito ay gumagana tulad ng mga digital sleeper cell, nananatiling hindi aktibo at hindi natutukoy hanggang sa ma-activate.

Ang mga umaatake ay umaasa sa kombinasyon ng mga advanced na kagamitan at pamamaraan, kabilang ang:

• Mga implant sa antas ng kernel na gumagana nang malalim sa loob ng operating system
• Mga passive backdoor na umiiwas sa mga tradisyonal na pamamaraan ng pagtuklas
• Mga kagamitan sa pagkolekta ng kredensyal para sa pangangalap ng sensitibong data ng pag-access
• Mga cross-platform command-and-control framework na nagbibigay-daan sa mga flexible na operasyon

Ang mga kakayahang ito ay nagbibigay-daan sa aktor ng banta na mapanatili ang pangmatagalang pagtitiyaga habang binabawasan ang natutukoy na aktibidad.

BPFDoor: Ang Hindi Nakikitang Backdoor sa Kernel

Sa sentro ng kampanyang ito ay angBPFDoor , isang backdoor na nakabase sa Linux na nagpapakita ng pagiging lihim at sopistikado. Hindi tulad ng tradisyonal na malware, iniiwasan ng implant na ito ang paglikha ng mga natutukoy na network indicator.

Sa halip na magbukas ng mga port o magpanatili ng mga nakikitang channel ng komunikasyon, ginagamit ng BPFDoor ang functionality ng Berkeley Packet Filter (BPF) sa loob ng Linux kernel. Sinusuri nito ang trapiko sa network sa loob at nag-a-activate lamang kapag nakatanggap ito ng isang espesyal na ginawang 'magic' packet.

Inaalis ng disenyong ito ang pangangailangan para sa patuloy na mga tagapakinig o aktibidad ng beaconing, na epektibong naglalagay ng isang nakatagong mekanismo ng pag-access nang direkta sa operating system. Ang resulta ay isang halos hindi nakikitang entry point na napakahirap matukoy gamit ang mga kumbensyonal na tool sa pagsubaybay.

Paunang Kompromiso: Pagsasamantala sa Edge Infrastructure

Karaniwang nagsisimula ang kadena ng pag-atake sa pamamagitan ng pag-target sa mga sistemang nakaharap sa internet at mga edge device. Kabilang dito ang mga VPN gateway, firewall, at mga serbisyong nakaharap sa web, lalo na ang mga nauugnay sa mga pangunahing teknolohiya ng enterprise.

Kapag nakamit na ang unang pag-access, nagde-deploy ang mga attacker ng isang suite ng mga post-exploitation tool upang mapalawak ang kanilang kontrol. Kabilang dito ang mga framework tulad ng CrossC2, kasama ang Sliver, TinyShell, keylogger, at mga brute-force utilities. Sama-sama, ang mga tool na ito ay nagbibigay-daan sa pagkuha ng kredensyal, internal reconnaissance, at lateral movement sa mga nakompromisong kapaligiran.

Arkitekturang Dual-Component: Kontrol at Pag-activate

Ang BPFDoor ay gumagana sa pamamagitan ng dalawang-bahaging arkitektura na idinisenyo para sa katumpakan at pagiging nakatago. Ang isang bahagi ay nasa nakompromisong sistema, na pasibong nagmomonitor ng papasok na trapiko para sa isang paunang natukoy na trigger packet. Sa oras na matukoy ito, ito ay mag-a-activate sa pamamagitan ng paglabas ng isang remote shell.

Ang pangalawang bahagi ay isang controller na pinapatakbo ng attacker. Ang controller na ito ay nagpapadala ng mga espesyal na ginawang packet upang i-activate ang mga implant at maaari ring gumana sa loob ng kapaligiran ng biktima. Kapag na-deploy sa loob, maaari nitong itago ang sarili bilang mga lehitimong proseso ng system, i-coordinate ang mga karagdagang impeksyon, at mapadali ang kontroladong paggalaw sa pagitan ng mga system.

Pagmamatyag sa Antas ng Telekomunikasyon: Higit Pa sa mga Tradisyonal na Backdoor

Ang ilang variant ng BPFDoor ay nagpapakita ng mga kakayahan na higit pa sa karaniwang backdoor functionality. Ang suporta para sa Stream Control Transmission Protocol (SCTP) ay nagbibigay-daan sa pagsubaybay sa mga komunikasyon na partikular sa telecom.

Ang kakayahang ito ay nagbibigay-daan sa mga umaatake na makakuha ng kaalaman tungkol sa aktibidad ng subscriber, subaybayan ang pag-uugali ng user, at posibleng matukoy ang mga pisikal na lokasyon ng mga indibidwal na interesado. Bilang resulta, ang BPFDoor ay epektibong nagsisilbing isang surveillance layer na naka-embed sa loob ng imprastraktura ng telecom, na nagbibigay ng pangmatagalang at mababang ingay na visibility sa mga sensitibong operasyon.

Muling Naimbento ang Pag-iwas: Mga Bagong Baryante at Mga Pagpapahusay sa Lihim

Isang bagong natukoy na variant ng BPFDoor ang nagpapakilala ng mga pagpapabuti sa arkitektura na idinisenyo upang mapahusay ang pag-iwas at mahabang buhay. Kabilang sa mga pangunahing pagsulong ang:

• Pagtatago ng mga trigger packet sa loob ng tila lehitimong trapiko ng HTTPS
• Pagpapatupad ng isang nakapirming byte offset marker ('9999') para sa maaasahang pagtuklas ng pag-activate
• Pagpapakilala ng komunikasyon na nakabatay sa ICMP sa pagitan ng mga nahawaang host para sa low-profile na interaksyon

Ang mga pamamaraang ito ay nagbibigay-daan sa malisyosong trapiko na tuluyang humalo sa normal na aktibidad ng network, na makabuluhang binabawasan ang posibilidad ng pagtuklas habang pinapanatili ang maaasahang pagpapatupad ng utos.

Umuunlad na Kalakalan: Mas Malalim sa Salansan

Itinatampok ng kampanya ang mas malawak na pagbabago sa metodolohiya ng mga umaatake. Sa halip na umasa lamang sa user-space malware, ang mga kalaban ay lalong naglalagay ng mga implant nang mas malalim sa loob ng computing stack, lalo na sa antas ng kernel at imprastraktura.

Ang mga kapaligirang pangtelekomunikasyon ay lalong kaakit-akit na mga target dahil sa kanilang pagiging kumplikado, na kinabibilangan ng mga bare-metal system, mga virtualization layer, high-performance networking hardware, at mga containerized 4G/5G core component. Sa pamamagitan ng pagsasama sa mga lehitimong serbisyo at mga runtime environment, ang mga implant na ito ay maaaring makaiwas sa mga tradisyonal na endpoint defense at mananatiling hindi natutukoy sa loob ng matagalang panahon.

Konklusyon: Isang Bagong Hangganan sa Cyber Espionage

Ang kampanyang ito ay nagpapakita ng isang makabuluhang ebolusyon sa mga taktika ng cyber-espionage. Sa pamamagitan ng paggamit ng imprastraktura ng telecom at mga mekanismo ng kernel-level stealth, nakakamit ng mga umaatake ang pangmatagalang, mababang-visibility na access sa mga sensitibong kapaligiran.

Ang paggamit ng mga advanced na tool tulad ng BPFDoor, kasama ang mga makabagong pamamaraan ng pag-iwas at malalim na integrasyon ng sistema, ay hudyat ng lumalaking hamon para sa mga tagapagtanggol. Ang pagtukoy at pagpapagaan ng mga naturang banta ay nangangailangan ng pinahusay na kakayahang makita ang mas mababang mga layer ng computing stack at muling pag-iisip ng mga tradisyonal na pamamaraan sa seguridad.