Chiến dịch gián điệp Hồng Nhân Thần

Một chiến dịch gián điệp mạng dai dẳng và mang tính chiến lược cao, có liên hệ với một nhóm tin tặc thân Trung Quốc, đã thành công trong việc xâm nhập vào các mạng lưới viễn thông. Mục tiêu chính là giám sát và xâm nhập vào cơ sở hạ tầng liên quan đến chính phủ bằng cách lợi dụng môi trường viễn thông như một cửa ngõ.

Chiến dịch kéo dài này được cho là do nhóm tin tặc Red Menshen thực hiện, nhóm này còn được theo dõi dưới các bí danh như Earth Bluecrow, DecisiveArchitect và Red Dev 18. Ít nhất từ năm 2021, nhóm này đã liên tục nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông trên khắp Trung Đông và châu Á, thiết lập quyền truy cập bí mật và sâu rộng vào các hệ thống quan trọng.

Tế bào ngủ đông kỹ thuật số: Các kỹ thuật duy trì hoạt động tiên tiến

Các nhà nghiên cứu an ninh đã mô tả các cơ chế truy cập được sử dụng trong chiến dịch này là một trong những cơ chế bí mật nhất từng được quan sát thấy trong mạng viễn thông. Những kỹ thuật này hoạt động giống như các tế bào ngủ đông kỹ thuật số, nằm im lìm và không bị phát hiện cho đến khi được kích hoạt.

Nhóm tấn công dựa vào sự kết hợp của các công cụ và kỹ thuật cực kỳ tiên tiến, bao gồm:

• Các phần mềm cấy ghép cấp nhân hoạt động sâu bên trong hệ điều hành.
• Các cửa hậu thụ động tránh được các phương pháp phát hiện truyền thống.
• Các tiện ích thu thập thông tin đăng nhập để thu thập dữ liệu truy cập nhạy cảm.
• Các khung điều khiển và chỉ huy đa nền tảng cho phép vận hành linh hoạt.

Những khả năng này cho phép kẻ tấn công duy trì sự hiện diện lâu dài đồng thời giảm thiểu tối đa các hoạt động có thể phát hiện được.

BPFDoor: Lỗ hổng bảo mật vô hình trong nhân hệ điều hành

Trọng tâm của chiến dịch này làBPFDoor , một phần mềm độc hại dạng cửa hậu dựa trên Linux, thể hiện sự tinh vi và kín đáo đáng kinh ngạc. Không giống như các phần mềm độc hại truyền thống, phần mềm này tránh tạo ra các dấu hiệu mạng có thể phát hiện được.

Thay vì mở cổng hoặc duy trì các kênh liên lạc công khai, BPFDoor khai thác chức năng Berkeley Packet Filter (BPF) trong nhân Linux. Nó kiểm tra lưu lượng mạng nội bộ và chỉ kích hoạt khi nhận được một gói tin "ma thuật" được tạo ra đặc biệt.

Thiết kế này loại bỏ nhu cầu về các trình lắng nghe liên tục hoặc hoạt động phát tín hiệu, giúp nhúng hiệu quả một cơ chế truy cập ẩn trực tiếp vào hệ điều hành. Kết quả là một điểm truy cập gần như vô hình, cực kỳ khó phát hiện bằng các công cụ giám sát thông thường.

Lỗ hổng ban đầu: Khai thác cơ sở hạ tầng biên

Chuỗi tấn công thường bắt đầu bằng việc nhắm mục tiêu vào các hệ thống kết nối internet và các thiết bị biên. Chúng bao gồm các cổng VPN, tường lửa và các dịch vụ web, đặc biệt là những dịch vụ liên quan đến các công nghệ doanh nghiệp lớn.

Sau khi giành được quyền truy cập ban đầu, kẻ tấn công sẽ triển khai một bộ công cụ hậu khai thác để mở rộng quyền kiểm soát. Chúng bao gồm các framework như CrossC2, cùng với Sliver, TinyShell, phần mềm ghi lại thao tác bàn phím (keylogger) và các công cụ tấn công vét cạn (brute-force). Kết hợp lại, các công cụ này cho phép thu thập thông tin đăng nhập, trinh sát nội bộ và di chuyển ngang qua các môi trường bị xâm nhập.

Kiến trúc hai thành phần: Điều khiển và Kích hoạt

BPFDoor hoạt động dựa trên kiến trúc hai phần được thiết kế cho độ chính xác và tính bí mật. Một thành phần nằm trên hệ thống bị xâm nhập, giám sát thụ động lưu lượng truy cập đến để tìm gói kích hoạt được xác định trước. Khi phát hiện, nó sẽ kích hoạt bằng cách tạo ra một shell từ xa.

Thành phần thứ hai là một bộ điều khiển do kẻ tấn công vận hành. Bộ điều khiển này gửi các gói dữ liệu được thiết kế đặc biệt để kích hoạt phần mềm độc hại và cũng có thể hoạt động trong môi trường của nạn nhân. Khi được triển khai nội bộ, nó có thể ngụy trang thành các tiến trình hệ thống hợp pháp, phối hợp các cuộc lây nhiễm bổ sung và tạo điều kiện cho việc di chuyển ngang có kiểm soát giữa các hệ thống.

Giám sát cấp độ viễn thông: Vượt ra ngoài các cửa hậu truyền thống

Một số biến thể của BPFDoor thể hiện các khả năng vượt xa chức năng cửa hậu tiêu chuẩn. Hỗ trợ Giao thức Truyền điều khiển Luồng (SCTP) cho phép giám sát các liên lạc chuyên biệt trong lĩnh vực viễn thông.

Khả năng này cho phép kẻ tấn công thu thập thông tin chi tiết về hoạt động của người đăng ký, theo dõi hành vi người dùng và có thể xác định vị trí vật lý của những cá nhân cần quan tâm. Do đó, BPFDoor hoạt động hiệu quả như một lớp giám sát được nhúng trong cơ sở hạ tầng viễn thông, cung cấp khả năng quan sát lâu dài, ít gây nhiễu đối với các hoạt động nhạy cảm.

Khả năng né tránh được cải tiến: Các biến thể mới và nâng cấp khả năng tàng hình

Một biến thể mới được xác định của BPFDoor mang đến những cải tiến về kiến trúc được thiết kế để tăng cường khả năng né tránh và tuổi thọ. Những cải tiến chính bao gồm:

• Che giấu các gói tin kích hoạt bên trong lưu lượng HTTPS tưởng chừng như hợp pháp.
• Áp dụng dấu hiệu độ lệch byte cố định ('9999') để phát hiện kích hoạt đáng tin cậy.
• Giới thiệu giao tiếp dựa trên ICMP giữa các máy chủ bị nhiễm để tương tác kín đáo.

Các kỹ thuật này cho phép lưu lượng truy cập độc hại hòa lẫn một cách liền mạch với hoạt động mạng bình thường, làm giảm đáng kể khả năng bị phát hiện trong khi vẫn duy trì khả năng thực thi lệnh đáng tin cậy.

Sự phát triển của kỹ thuật nghiệp vụ: Đi sâu hơn vào hệ thống.

Chiến dịch này nêu bật một sự thay đổi rộng hơn trong phương pháp tấn công của kẻ thù. Thay vì chỉ dựa vào phần mềm độc hại ở không gian người dùng, các đối thủ ngày càng cài đặt các phần mềm gián điệp sâu hơn vào hệ thống máy tính, đặc biệt là ở cấp độ nhân hệ điều hành và cơ sở hạ tầng.

Môi trường viễn thông đặc biệt hấp dẫn đối với các mục tiêu tấn công do tính phức tạp của chúng, bao gồm các hệ thống phần cứng vật lý, các lớp ảo hóa, phần cứng mạng hiệu năng cao và các thành phần lõi 4G/5G được đóng gói trong container. Bằng cách tích hợp với các dịch vụ hợp pháp và môi trường hoạt động, các phần mềm độc hại này có thể né tránh các biện pháp phòng thủ điểm cuối truyền thống và tồn tại mà không bị phát hiện trong thời gian dài.

Kết luận: Một kỷ nguyên mới trong lĩnh vực gián điệp mạng

Chiến dịch này thể hiện một bước tiến đáng kể trong các chiến thuật gián điệp mạng. Bằng cách tận dụng cơ sở hạ tầng viễn thông và các cơ chế ẩn danh ở cấp độ nhân hệ điều hành, tin tặc có thể truy cập lâu dài, khó bị phát hiện vào các môi trường cực kỳ nhạy cảm.

Việc sử dụng các công cụ tiên tiến như BPFDoor, kết hợp với các kỹ thuật né tránh sáng tạo và tích hợp hệ thống sâu rộng, báo hiệu một thách thức ngày càng lớn đối với các nhà bảo mật. Phát hiện và giảm thiểu các mối đe dọa như vậy đòi hỏi khả năng quan sát nâng cao ở các lớp thấp hơn của kiến trúc điện toán và việc xem xét lại các phương pháp bảo mật truyền thống.