Red Menshen i BPFDoor w sieciach telekomunikacyjnych: ukryty backdoor w infrastrukturze krytycznej

securitybeztabu.pl 10 godzin temu

Wprowadzenie do problemu / definicja

BPFDoor to zaawansowany backdoor dla systemów Linux, zaprojektowany z myślą o skrytym działaniu w środowiskach o wysokiej wartości operacyjnej. Jego kluczową cechą jest wykorzystanie mechanizmów Berkeley Packet Filter do nasłuchu ruchu sieciowego w sposób, który nie wymaga otwierania jawnych portów ani utrzymywania typowego kanału komunikacji z serwerem dowodzenia. W praktyce oznacza to znacznie wyższy poziom ukrycia niż w przypadku klasycznych implantów.

W najnowszych analizach BPFDoor został powiązany z kampanią przypisywaną grupie Red Menshen, która koncentruje się na długoterminowym utrzymaniu dostępu do infrastruktury telekomunikacyjnej. Tego typu operacje mają szczególne znaczenie, ponieważ operatorzy telekomunikacyjni obsługują ruch głosowy, dane abonentów, systemy uwierzytelniania oraz warstwę sygnalizacyjną wykorzystywaną w sieciach mobilnych.

W skrócie

Kampania przypisywana Red Menshen ma charakter wieloletni i jest ukierunkowana przede wszystkim na operatorów telekomunikacyjnych. Celem nie jest szybka destrukcja środowiska, ale dyskretne osadzenie trwałych przyczółków wewnątrz infrastruktury, które mogą pozostawać nieaktywne przez długi czas.

  • BPFDoor działa skrycie i nie otwiera standardowych portów nasłuchowych.
  • Implant aktywuje się dopiero po odebraniu specjalnie przygotowanego pakietu.
  • Atakujący dążą do utrzymania długoterminowego dostępu do systemów operatora.
  • Szczególnie istotnym celem są elementy rdzenia sieci i warstwy sygnalizacyjnej.
  • Niski poziom widoczności malware utrudnia jego wykrycie klasycznymi metodami.

Kontekst / historia

Sektor telekomunikacyjny od lat znajduje się w centrum zainteresowania aktorów sponsorowanych przez państwa oraz grup prowadzących operacje cyberwywiadowcze. Powód jest oczywisty: kompromitacja operatora może otworzyć drogę nie tylko do pojedynczych systemów, ale również do metadanych, informacji o abonentach, systemów roamingowych, rozliczeń oraz mechanizmów obsługujących sygnalizację między elementami sieci.

Opis kampanii Red Menshen wskazuje na model działania oparty na cierpliwości i niskiej wykrywalności. Zamiast prowadzić głośne i krótkotrwałe włamania, napastnicy budują trwałą obecność w infrastrukturze, którą można aktywować w dogodnym momencie. Taki wzorzec odpowiada schematowi działań wywiadowczych, gdzie najważniejsze są trwałość dostępu, szerokość widoczności operacyjnej oraz ograniczenie śladów.

Analiza techniczna

Najważniejszą różnicą między BPFDoor a tradycyjnymi backdoorami jest sposób aktywacji. Implant wykorzystuje filtr BPF do analizy przychodzących pakietów jeszcze przed ich pełnym przetworzeniem w przestrzeni użytkownika. jeżeli ruch nie zawiera określonego wzorca, system wygląda na nienaruszony. Dopiero specjalnie spreparowany pakiet uruchamia dalsze działania, takie jak aktywacja zdalnej powłoki lub innego kanału wykonania poleceń.

To podejście znacząco osłabia skuteczność klasycznych metod detekcji. Skanowanie portów, poszukiwanie typowych beaconów czy analiza procesów użytkownika mogą nie wykazać obecności implantu. Malware działa bowiem na niższym poziomie obserwacji niż wiele standardowych narzędzi bezpieczeństwa.

Według analiz ataki rozpoczynają się często od warstwy brzegowej infrastruktury. Punktem wejścia mogą być przejęte konta uprzywilejowane albo podatne usługi wystawione do internetu, takie jak urządzenia VPN, zapory sieciowe, hosty wirtualizacyjne, routery oraz platformy bezpieczeństwa. Po uzyskaniu dostępu wdrażane są kolejne narzędzia wspierające utrzymanie persystencji, wykonywanie poleceń i pozyskiwanie poświadczeń.

W łańcuchu ataku pojawiają się również narzędzia wspomagające ruch boczny i operacje post-exploitation, w tym frameworki zdalnego dostępu, keyloggery oraz mechanizmy brute force dostosowane do środowisk operatorskich. Celem jest dotarcie do zasobów rdzeniowych, gdzie działają systemy zarządzania abonentami, uwierzytelnianie oraz komponenty obsługujące sygnalizację w sieciach 4G i 5G.

Szczególnie istotny jest rozwój nowszych wariantów BPFDoor. Badacze wskazują na obecność nowych filtrów BPF, zmodyfikowanych pakietów aktywujących oraz zdolności inspekcji ruchu SCTP. W realiach telekomunikacyjnych ma to duże znaczenie, ponieważ SCTP odgrywa istotną rolę w warstwie sygnalizacyjnej. Oznacza to, iż implant może działać w pobliżu mechanizmów odpowiedzialnych za mobilność abonentów, trasowanie połączeń i wymianę sygnalizacji.

Dodatkowym utrudnieniem dla obrońców jest maskowanie się malware pod legalne usługi systemowe, serwery bare-metal lub komponenty środowisk kontenerowych. W nowoczesnych architekturach operatorskich, gdzie współistnieją klasyczne serwery, wirtualizacja oraz elementy chmurowe, taki model ukrycia zwiększa szansę na długotrwałą obecność przeciwnika.

Konsekwencje / ryzyko

Obecność BPFDoor w sieci telekomunikacyjnej oznacza ryzyko wykraczające poza standardowy incydent naruszenia bezpieczeństwa. Napastnicy mogą uzyskać długoterminową zdolność obserwacji ruchu, identyfikatorów abonentów, danych uwierzytelniających, zdarzeń mobilności oraz metadanych komunikacyjnych. W skrajnych przypadkach może to prowadzić do profilowania użytkowników, śledzenia lokalizacji oraz monitorowania komunikacji podmiotów o znaczeniu strategicznym.

Największym problemem jest niski poziom widoczności implantu. Organizacje opierające detekcję wyłącznie na EDR w przestrzeni użytkownika, logach aplikacyjnych i podstawowej analizie połączeń mogą przez długi czas nie zauważyć kompromitacji. To z kolei zwiększa prawdopodobieństwo utrzymania trwałego dostępu, eskalacji uprawnień i późniejszego wykorzystania środowiska do dalszych operacji wywiadowczych lub sabotażowych.

Dla całego sektora oznacza to również ryzyko systemowe. Kompromitacja jednego operatora może wpływać na relacje zaufania, usługi roamingowe, wymianę ruchu oraz współpracę z innymi podmiotami. Z perspektywy państwa i operatorów infrastruktury krytycznej tego rodzaju incydenty powinny być traktowane jako zagrożenie dla bezpieczeństwa narodowego.

Rekomendacje

Operatorzy telekomunikacyjni oraz organizacje utrzymujące rozbudowane środowiska Linux i BSD powinny rozszerzyć monitoring o warstwę jądra systemu, filtrów pakietowych oraz nietypowych wzorców ruchu sieciowego. najważniejsze jest wdrożenie telemetrii umożliwiającej wykrywanie anomalii związanych z użyciem BPF i eBPF, nieoczekiwanych zmian w zachowaniu hostów oraz ukrytych mechanizmów aktywacji opartych na niestandardowych pakietach.

  • Priorytetowo zabezpieczać urządzenia brzegowe, takie jak VPN, firewalle, routery i hosty wirtualizacyjne.
  • Wymuszać MFA dla kont uprzywilejowanych oraz ograniczać ekspozycję usług administracyjnych do internetu.
  • Prowadzić regularny audyt kont technicznych, poświadczeń i uprawnień.
  • Monitorować ruch lateralny oraz obecność niestandardowych binariów ELF na serwerach infrastrukturalnych.
  • Przygotować playbooki reagowania obejmujące scenariusz kompromitacji warstwy rdzeniowej.
  • Współpracować z zespołami CERT, SOC i partnerami sektorowymi przy wymianie wskaźników zagrożeń.

Zespoły SOC i DFIR powinny zwracać szczególną uwagę na oznaki długiej persystencji: nietypowe artefakty w pamięci, anomalie w konfiguracji usług systemowych, procesy podszywające się pod komponenty infrastrukturalne oraz ślady manipulacji ruchem SCTP, SS7 i Diameter tam, gdzie jest to technicznie uzasadnione.

Podsumowanie

Kampania przypisywana Red Menshen pokazuje, iż współczesne operacje cyberwywiadowcze coraz częściej przenoszą się poniżej tradycyjnych warstw widoczności i lokują bezpośrednio w jądrze systemu oraz infrastrukturze krytycznej. BPFDoor jest przykładem implantu stworzonego do długotrwałej, skrytej obecności, szczególnie niebezpiecznej dla operatorów telekomunikacyjnych.

Dla zespołów bezpieczeństwa oznacza to konieczność zmiany modelu detekcji. Sama obserwacja warstwy aplikacyjnej i przestrzeni użytkownika przestaje wystarczać. Skuteczna obrona wymaga pełniejszej kontroli zachowania systemu operacyjnego, warstwy sieciowej i mechanizmów niskopoziomowych, które mogą zostać wykorzystane do utrzymania ukrytej obecności przez wiele miesięcy lub choćby lat.

Źródła

  1. Security Affairs — https://securityaffairs.com/190029/malware/china-linked-red-menshen-apt-deploys-stealthy-bpfdoor-implants-in-telecom-networks.html
  2. Rapid7 Labs, BPFdoor in Telecom Networks: Sleeper Cells in the Backbone — https://www.rapid7.com/blog/post/tr-bpfdoor-telecom-networks-sleeper-cells-threat-research-report/
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Red Menshen i BPFDoor w sieciach telekomunikacyjnych: ukryty backdoor w infrastrukturze krytycznej

Powiązane

Wielka Brytania sankcjonuje platformę kryptowalutową powiązaną z globalnymi oszustwami internetowymi

Wielka Brytania sankcjonuje platformę kryptowalutową powiąza...

10 godzin temu
Ekspozycja sekretów w środowiskach deweloperskich rośnie. AI, repozytoria i narzędzia współpracy zwiększają ryzyko

Ekspozycja sekretów w środowiskach deweloperskich rośnie. AI...

10 godzin temu
Coruna na iOS: zaktualizowany framework exploitów powiązany z Operation Triangulation

Coruna na iOS: zaktualizowany framework exploitów powiązany ...

10 godzin temu
Apple ostrzega użytkowników starszych iPhone’ów przed aktywnie wykorzystywanymi exploitami webowymi

Apple ostrzega użytkowników starszych iPhone’ów przed aktywn...

10 godzin temu
Fałszywe alerty o lukach VS Code na GitHubie wykorzystywane do dystrybucji malware

Fałszywe alerty o lukach VS Code na GitHubie wykorzystywane ...

10 godzin temu
Złośliwe wersje pakietu Telnyx w PyPI: TeamPCP ukrywa stealer w plikach WAV

Złośliwe wersje pakietu Telnyx w PyPI: TeamPCP ukrywa steale...

10 godzin temu
Chcą przesunąć zegarki o… pół godziny. Nietypowy pomysł na zmianę czasu

Chcą przesunąć zegarki o… pół godziny. Nietypowy pomysł na z...

20 godzin temu
Wyzwania i kierunki rozwoju cyberbezpieczeństwa. OPTeam zaprasza na konferencję CyberSummIT Podkarpacie 2026

Wyzwania i kierunki rozwoju cyberbezpieczeństwa. OPTeam zapr...

1 dzień temu

Polecane

Policjanci i psy szkoleni w wykrywaniu narkotyków i materiałów wybuchowych

Policjanci i psy szkoleni w wykrywaniu narkotyków i materiał...

3 dni temu
Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współczesnych zagrożeń? Pytania i odpowiedzi ekspertów

Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współcze...

3 dni temu
Stopnie alarmowe w województwie łódzkim. Służby w gotowości

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

1 tydzień temu
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie

Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mog...

1 tydzień temu
„Szpital 2026”. Wielkie ćwiczenia ratownicze i zarządzania kryzysowego na Podkarpaciu

„Szpital 2026”. Wielkie ćwiczenia ratownicze i zarządzania k...

2 tygodni temu
Sąd wojskowy w Moskwie wydał dziś wyroki w sprawie zamachu terrorystycznego w po…

Sąd wojskowy w Moskwie wydał dziś wyroki w sprawie zamachu t...

2 tygodni temu
Gubin. Ewakuacja mieszkańców, niewybuch znaleziony podczas remontu dachu

Gubin. Ewakuacja mieszkańców, niewybuch znaleziony podczas r...

2 tygodni temu
Ząbkowice Śl. Robotnicy odkryli groźny niewybuch z czasów II wojny światowej

Ząbkowice Śl. Robotnicy odkryli groźny niewybuch z czasów II...

2 tygodni temu
Drugi i trzeci stopień alarmowy w woj. łódzkim i całej Polsce! Służby w gotowości

Drugi i trzeci stopień alarmowy w woj. łódzkim i całej Polsc...

2 tygodni temu