Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Red Menshen групата поврзано со Кина користи прикриени BPFDoor импланти за шпионажа преку телекомуникациски мрежи

Објавено: 27.03.2026

Долгорочна и тековна кампања, која се припишува на заканувачки актер поврзан со Кина, се има инфилтрирано во телекомуникациски мрежи со цел да спроведува шпионажа врз владини мрежи.

Оваа активност на стратешко позиционирање, која вклучува вметнување и одржување на прикриени механизми за пристап во критични средини, се припишува на Red Menshen — заканувачка група позната и како Earth Bluecrow, DecisiveArchitect и Red Dev 18. Групата има историја на напади врз телекомуникациски провајдери низ Блискиот Исток и Азија уште од најмалку 2021 година.

Компанијата Rapid7 ги опиша овие прикриени механизми за пристап како „едни од најскриените дигитални ‘заспани ќелии’“ некогаш забележани во телекомуникациски мрежи.

Кампањата се карактеризира со употреба на импланти на ниво на кернел, пасивни бекдори, алатки за крадење креденцијали и cross-platform командни рамки, што му овозможува на напаѓачот долгорочно да опстојува во таргетираните мрежи. Една од најпознатите алатки во нивниот малициозен арсенал е Linux бекдорот наречен BPFDoor.

„За разлика од конвенционалниот малвер, BPFDoor не отвора слушачки порти ниту одржува видливи канали за команда и контрола,“ наведува Rapid7 Labs во извештај споделен со The Hacker News. „Наместо тоа, го злоупотребува Berkeley Packet Filter (BPF) за директно да го анализира мрежниот сообраќај во самиот кернел, активирајќи се само кога ќе прими специјално креиран ‘trigger’ пакет.“

„Нема постојан слушач ниту очигледни сигнали (beaconing). Резултатот е скриен ‘заден влез’ вграден директно во оперативниот систем.“

Нападните синџири започнуваат со таргетирање на интернет-достапна инфраструктура и изложени edge сервиси, како VPN уреди, firewall-и и веб платформи поврзани со компании како Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks и Apache Struts, со цел да се добие почетен пристап.

Откако ќе се воспостави пристап, се користат Linux-компатибилни beacon рамки како CrossC2 за пост-експлоатациски активности. Дополнително се инсталираат и Sliver, TinyShell (Unix бекдор), keylogger-и и алатки за brute-force напади за крадење креденцијали и латерално движење низ мрежата.

Сепак, централна алатка во операциите на Red Menshen е BPFDoor. Таа има две главни компоненти:

  • Првата е пасивен бекдор инсталиран на компромитираниот Linux систем, кој го анализира дојдовниот сообраќај барајќи однапред дефиниран „магичен“ пакет преку BPF филтер, и отвора далечински shell кога ќе го прими.
  • Втората е контролер управуван од напаѓачот, кој е одговорен за испраќање на специјално форматираните пакети.

„Контролерот е дизајниран да функционира и внатре во самата средина на жртвата,“ објаснува Rapid7. „Во овој режим, може да се маскира како легитимни системски процеси и да активира дополнителни импланти на внатрешни хостови преку испраќање активациски пакети или со отворање локален ‘listener’ за примање shell конекции, што практично овозможува контролирано латерално движење меѓу компромитираните системи.“

Дополнително, одредени артефакти на BPFDoor се откриени дека поддржуваат Stream Control Transmission Protocol (SCTP), што потенцијално му овозможува на напаѓачот да ги следи телекомуникациските протоколи и да добие увид во однесувањето и локацијата на корисниците, па дури и да следи конкретни лица од интерес.

Овие карактеристики покажуваат дека функционалноста на BPFDoor оди подалеку од обичен прикриен Linux бекдор. „BPFdoor функционира како слој за пристап вграден во телекомуникациската ‘backbone’ инфраструктура, обезбедувајќи долгорочна, ниско-забележлива видливост врз критичните мрежни операции,“ додава безбедносната компанија.

И тоа не е сè. Претходно недокументирана варијанта на BPFDoor вклучува архитектонски промени за да биде уште потешко детектирана и да остане скриена подолг временски период во модерни enterprise и телекомуникациски средини. Меѓу нив се:

  • сокривање на „trigger“ пакетот во наизглед легитимен HTTPS сообраќај
  • нов механизам за парсирање кој осигурува дека стрингот „9999“ се појавува на фиксна позиција (byte offset) во барањето

Оваа камуфлажа му овозможува на „магичниот“ пакет да остане скриен во HTTPS сообраќајот без да ја наруши структурата на податоците, а имплантот секогаш да проверува на точно одредена позиција дали маркерот постои и, ако е присутен, да го интерпретира како команда за активација.

Новата варијанта исто така воведува „лесен комуникациски механизам“ кој го користи Internet Control Message Protocol (ICMP) за комуникација помеѓу два заразени хоста.

„Овие наоди ја одразуваат пошироката еволуција на тактиките на напаѓачите,“ велат од Rapid7. „Напаѓачите ги вградуваат имплантите подлабоко во компјутерскиот стек — таргетирајќи ги кернелите на оперативните системи и инфраструктурните платформи, наместо да се потпираат само на malware во user-space.“

„Телекомуникациските средини — кои комбинираат bare-metal системи, виртуелизација, високо-перформансни уреди и контејнеризирани 4G/5G core компоненти — претставуваат идеална средина за долгорочно, тешко-забележливо присуство. Со вклопување во легитимни хардверски сервиси и container runtimes, имплантите можат да ги избегнат традиционалните системи за мониторинг и да останат недетектирани подолг период.“

Извори:

  • The Hacker News – China-Linked Red Menshen Uses Stealthy BPFDoor Implants to Spy via Telecom Networks The Hacker News