Red Menshen Espionage Campaign
与中国有关联的威胁行为体开展的持续且极具战略性的网络间谍活动已成功渗透到电信网络中。其主要目标是利用电信环境作为入口,监视和渗透政府相关基础设施。
这项持续多年的行动归因于名为“红门神”的威胁集群,该集群也以“地球蓝鸦”、“决断架构师”和“红魔18”等别名进行追踪。至少从2021年起,该组织就持续以中东和亚洲的电信运营商为目标,在关键系统中建立了根深蒂固的隐蔽访问权限。
目录
数字休眠单元:先进的持久化技术
安全研究人员指出,此次攻击活动中使用的入侵机制是电信网络中迄今为止发现的最隐蔽的机制之一。这些技术如同数字休眠单元,在被激活之前一直处于休眠状态,难以察觉。
攻击者依赖于一系列高度先进的工具和技术,其中包括:
- 在操作系统深处运行的内核级植入程序
- 可绕过传统检测方法的被动后门
- 用于收集敏感访问数据的凭证收集工具
- 跨平台命令与控制框架,实现灵活操作
这些能力使威胁行为者能够保持长期持续存在,同时最大限度地减少可检测的活动。
BPFDoor:内核中的隐形后门
此次攻击活动的核心是BPFDoor ,这是一款基于 Linux 的后门程序,它展现了极高的隐蔽性和复杂性。与传统恶意软件不同,该植入程序不会在网络上留下任何可检测的痕迹。
BPFDoor 并不打开端口或维护可见的通信通道,而是利用 Linux 内核中的伯克利数据包过滤器 (BPF) 功能。它会在内部检查网络流量,并且仅在收到特制的“魔法”数据包时才会激活。
这种设计无需持续监听或发送信标,有效地将隐藏的访问机制直接嵌入到操作系统中。其结果是形成了一个几乎完全隐形的入口点,极难通过传统的监控工具检测到。
初始入侵:利用边缘基础设施
攻击链通常从针对面向互联网的系统和边缘设备开始。这些设备包括 VPN 网关、防火墙和面向 Web 的服务,特别是那些与主要企业技术相关的服务。
一旦获得初始访问权限,攻击者就会部署一系列后渗透工具来扩大控制范围。这些工具包括 CrossC2 等框架,以及 Sliver、TinyShell、键盘记录器和暴力破解工具。这些工具协同工作,能够窃取凭证、进行内部侦察,并在受感染的环境中横向移动。
双组件架构:控制与激活
BPFDoor采用两部分架构,旨在实现精准性和隐蔽性。其中一个组件驻留在受感染的系统中,被动监控传入流量,寻找预设的触发数据包。一旦检测到触发数据包,它便会启动并创建一个远程shell。
第二个组件是由攻击者操控的控制器。该控制器会发送特制的数据包来激活植入程序,并且还能在受害者的环境中运行。当部署在受害者内部时,它可以伪装成合法的系统进程,协调其他感染,并促进系统间的受控横向移动。
电信级监控:超越传统后门
BPFDoor的某些变种展现出超越标准后门功能的能力。对流控制传输协议(SCTP)的支持使其能够监控电信专用通信。
这项功能使攻击者能够深入了解用户活动、追踪用户行为,并有可能确定目标人员的物理位置。因此,BPFDoor 实际上充当了嵌入电信基础设施的监控层,能够对敏感操作进行长期、低噪声的监控。
规避机制革新:全新变体和隐身强化
新发现的BPFDoor变种在架构上进行了改进,旨在增强其规避能力和使用寿命。主要改进包括:
- 在看似合法的 HTTPS 流量中隐藏触发数据包
- 强制使用固定的字节偏移标记('9999')以实现可靠的激活检测
- 引入基于ICMP的感染宿主间通信,实现低调交互
这些技术使恶意流量能够与正常的网络活动无缝融合,从而大大降低被检测到的可能性,同时保持可靠的命令执行。
不断演进的技术:深入堆栈
此次攻击活动凸显了攻击者策略的更广泛转变。攻击者不再仅仅依赖用户空间恶意软件,而是越来越多地将植入程序嵌入到计算堆栈的更深层,尤其是在内核和基础设施层面。
由于电信环境的复杂性,包括裸机系统、虚拟化层、高性能网络硬件以及容器化的 4G/5G 核心组件,因此它们尤其容易成为攻击目标。通过与合法服务和运行时环境集成,这些植入程序可以绕过传统的终端防御措施,并在很长一段时间内不被检测到。
结论:网络间谍活动的新前沿
这次攻击活动表明网络间谍策略发生了重大演变。攻击者利用电信基础设施和内核级隐蔽机制,实现了对高度敏感环境的长期、低调访问。
诸如 BPFDoor 之类的先进工具,结合创新的规避技术和深度系统集成,对防御者而言是一个日益严峻的挑战。检测和缓解此类威胁需要增强对计算堆栈底层的可见性,并重新思考传统的安全方法。
