Китайская хакерская группировка, известная под именем Red Menshen, с 2021 года ведёт масштабную кибершпионскую кампанию против телекоммуникационных провайдеров и правительственных сетей на Ближнем Востоке и в Азии. Её главный инструмент — имплант BPFDoor, который специалисты из Rapid7 Labs назвали одной из самых скрытных «цифровых спящих ячеек», с какими им приходилось сталкиваться. Подробности кампании Rapid7 раскрыла в отчёте, предоставленном изданию The Hacker News.
Red Menshen (её также отслеживают под именами Earth Bluecrow, DecisiveArchitect и Red Dev 18) проникает в целевые сети через уязвимости в оборудовании, стоящем на границе периметра. Атакующие бьют по VPN-устройствам, файрволам и веб-приложениям. Среди вендоров, чьё оборудование эксплуатируется, Rapid7 перечисляет Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks, а также фреймворк Apache Struts. Проще говоря, если у вас на периметре стоит что-то из этого списка и вы давно не ставили патчи — вы потенциальная цель.
После проникновения в сеть группировка разворачивает целый арсенал пост-эксплуатационных инструментов. Помимо BPFDoor, это фреймворк CrossC2 (Linux-совместимый beacon), платформа для эмуляции противника Sliver, Unix-бэкдор TinyShell, а также кейлоггеры и утилиты для брутфорса учётных записей. Набор подобран так, чтобы закрепиться, собрать пароли, а затем двигаться по сети вбок, оставаясь незамеченным.
Главная звезда арсенала — BPFDoor. Это бэкдор уровня ядра Linux, и работает он нетривиально. Он не открывает никаких портов на прослушивание и не поддерживает видимых каналов связи с командным сервером. Вместо этого имплант использует механизм Berkeley Packet Filter (BPF), чтобы инспектировать сетевой трафик прямо внутри ядра операционной системы. BPFDoor сидит пассивно и «просыпается» только тогда, когда получает специально сформированный триггерный пакет — так называемый «магический» пакет. После активации он устанавливает BPF-фильтр и открывает удалённый шелл для оператора.
Управляет BPFDoor отдельный контроллер на стороне атакующего. Он отправляет форматированные триггерные пакеты и, что особенно неприятно, может работать прямо внутри скомпрометированной сети, маскируясь под легитимный системный процесс. Контроллер способен активировать дополнительные импланты на других внутренних хостах или открывать локальные листенеры, обеспечивая контролируемое латеральное перемещение. Получается такая цепочка: один заражённый хост будит следующий, и со стороны это выглядит как обычный внутренний трафик.
Отдельная деталь, которая выделяет эту кампанию среди прочих, — работа с телеком-протоколами. Некоторые артефакты BPFDoor поддерживают протокол SCTP (Stream Control Transmission Protocol), родной для телекоммуникационной инфраструктуры. Это даёт злоумышленникам возможность мониторить телеком-протоколы изнутри, получать видимость в поведение абонентов и их местоположение. Проще выражаясь: через такой имплант можно отслеживать конкретных людей, интересующих заказчиков операции.
Rapid7 обнаружила ранее неизвестный вариант BPFDoor, свидетельствующий об эволюции тактик группировки. Новый образец маскирует триггерный пакет внутри на первый взгляд обычного HTTPS-трафика. Имплант ищет строку «9999» на фиксированном байтовом смещении внутри запроса — этот механизм не позволяет сдвигать данные в пакете и служит командой на активацию. Кроме того, в новом варианте впервые задействован протокол ICMP как лёгкий канал связи между двумя заражёнными хостами. Всё это направлено на то, чтобы оставаться нераспознанным максимально долго.
Среда, в которой действует Red Menshen, тоже заслуживает внимания. Телекоммуникационные операторы — это не типичные офисные сети. Здесь bare-metal серверы, слои виртуализации, высокопроизводительные аппаратные платформы и контейнеризованные компоненты ядра 4G/5G. BPFDoor вписывается в эту среду органично, сливаясь с легитимными аппаратными сервисами и рантаймами контейнеров. Традиционные средства мониторинга конечных точек его попросту не видят.
Аналитики Rapid7 обращают внимание на тренд: атакующие спускаются всё глубже по стеку, уходя с уровня пользовательского пространства к ядру операционной системы. Имплант вроде BPFDoor, встроенный в ядро и активируемый единственным пакетом, обеспечивает то, что в отчёте называют «долгосрочной, малозаметной видимостью критических сетевых операций». Для спецслужб это идеальная точка наблюдения — и для компаний-жертв кошмар, потому что обнаружить подобное привычными средствами почти невозможно.
Кампания Red Menshen показывает, как изменился ландшафт государственного кибершпионажа за последние годы. Вместо громких взломов с кражей баз данных — тихое, многолетнее присутствие внутри инфраструктуры связи. Без открытых портов, без заметного C2-трафика, с активацией по запросу. Телекоммуникационные провайдеры, особенно в Азии и на Ближнем Востоке, оказались в роли невольных посредников, через которых ведётся наблюдение за конечными целями — конкретными людьми и государственными структурами.
Изображение носит иллюстративный характер
Red Menshen (её также отслеживают под именами Earth Bluecrow, DecisiveArchitect и Red Dev 18) проникает в целевые сети через уязвимости в оборудовании, стоящем на границе периметра. Атакующие бьют по VPN-устройствам, файрволам и веб-приложениям. Среди вендоров, чьё оборудование эксплуатируется, Rapid7 перечисляет Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks, а также фреймворк Apache Struts. Проще говоря, если у вас на периметре стоит что-то из этого списка и вы давно не ставили патчи — вы потенциальная цель.
После проникновения в сеть группировка разворачивает целый арсенал пост-эксплуатационных инструментов. Помимо BPFDoor, это фреймворк CrossC2 (Linux-совместимый beacon), платформа для эмуляции противника Sliver, Unix-бэкдор TinyShell, а также кейлоггеры и утилиты для брутфорса учётных записей. Набор подобран так, чтобы закрепиться, собрать пароли, а затем двигаться по сети вбок, оставаясь незамеченным.
Главная звезда арсенала — BPFDoor. Это бэкдор уровня ядра Linux, и работает он нетривиально. Он не открывает никаких портов на прослушивание и не поддерживает видимых каналов связи с командным сервером. Вместо этого имплант использует механизм Berkeley Packet Filter (BPF), чтобы инспектировать сетевой трафик прямо внутри ядра операционной системы. BPFDoor сидит пассивно и «просыпается» только тогда, когда получает специально сформированный триггерный пакет — так называемый «магический» пакет. После активации он устанавливает BPF-фильтр и открывает удалённый шелл для оператора.
Управляет BPFDoor отдельный контроллер на стороне атакующего. Он отправляет форматированные триггерные пакеты и, что особенно неприятно, может работать прямо внутри скомпрометированной сети, маскируясь под легитимный системный процесс. Контроллер способен активировать дополнительные импланты на других внутренних хостах или открывать локальные листенеры, обеспечивая контролируемое латеральное перемещение. Получается такая цепочка: один заражённый хост будит следующий, и со стороны это выглядит как обычный внутренний трафик.
Отдельная деталь, которая выделяет эту кампанию среди прочих, — работа с телеком-протоколами. Некоторые артефакты BPFDoor поддерживают протокол SCTP (Stream Control Transmission Protocol), родной для телекоммуникационной инфраструктуры. Это даёт злоумышленникам возможность мониторить телеком-протоколы изнутри, получать видимость в поведение абонентов и их местоположение. Проще выражаясь: через такой имплант можно отслеживать конкретных людей, интересующих заказчиков операции.
Rapid7 обнаружила ранее неизвестный вариант BPFDoor, свидетельствующий об эволюции тактик группировки. Новый образец маскирует триггерный пакет внутри на первый взгляд обычного HTTPS-трафика. Имплант ищет строку «9999» на фиксированном байтовом смещении внутри запроса — этот механизм не позволяет сдвигать данные в пакете и служит командой на активацию. Кроме того, в новом варианте впервые задействован протокол ICMP как лёгкий канал связи между двумя заражёнными хостами. Всё это направлено на то, чтобы оставаться нераспознанным максимально долго.
Среда, в которой действует Red Menshen, тоже заслуживает внимания. Телекоммуникационные операторы — это не типичные офисные сети. Здесь bare-metal серверы, слои виртуализации, высокопроизводительные аппаратные платформы и контейнеризованные компоненты ядра 4G/5G. BPFDoor вписывается в эту среду органично, сливаясь с легитимными аппаратными сервисами и рантаймами контейнеров. Традиционные средства мониторинга конечных точек его попросту не видят.
Аналитики Rapid7 обращают внимание на тренд: атакующие спускаются всё глубже по стеку, уходя с уровня пользовательского пространства к ядру операционной системы. Имплант вроде BPFDoor, встроенный в ядро и активируемый единственным пакетом, обеспечивает то, что в отчёте называют «долгосрочной, малозаметной видимостью критических сетевых операций». Для спецслужб это идеальная точка наблюдения — и для компаний-жертв кошмар, потому что обнаружить подобное привычными средствами почти невозможно.
Кампания Red Menshen показывает, как изменился ландшафт государственного кибершпионажа за последние годы. Вместо громких взломов с кражей баз данных — тихое, многолетнее присутствие внутри инфраструктуры связи. Без открытых портов, без заметного C2-трафика, с активацией по запросу. Телекоммуникационные провайдеры, особенно в Азии и на Ближнем Востоке, оказались в роли невольных посредников, через которых ведётся наблюдение за конечными целями — конкретными людьми и государственными структурами.
