Una campaña en curso y de amplio plazo atribuida a un actor amenazador del conexión con China se ha incrustado en las redes de telecomunicaciones para realizar espionaje contra las redes gubernamentales.
La actividad de posicionamiento importante, que implica implantar y apoyar mecanismos de ataque sigiloso internamente de entornos críticos, se ha atribuido a Hombre rojoun clase de amenazas que todavía se rastrea como Earth Bluecrow, DecisiveArchitect y Red Dev 18. El clase tiene un historial de atacar a proveedores de telecomunicaciones en Medio Oriente y Asia desde al menos 2021.
Rapid7 describió los mecanismos de ataque encubierto como “algunas de las células durmientes digitales más sigilosas” de ningún modo encontradas en las redes de telecomunicaciones.
La campaña se caracteriza por el uso de implantes a nivel de kernel, puertas traseras pasivas, utilidades de convento de credenciales y marcos de comando multiplataforma, lo que brinda al actor de amenazas la capacidad de habitar persistentemente redes de interés. Una de las herramientas más reconocidas de su astillero de malware es una puerta trasera de Linux citación BPFDoor.
“A diferencia del malware convencional, BPFdoor no expone puertos de audición ni mantiene canales de comando y control visibles”, dijo Rapid7 Labs en un referencia compartido con The Hacker News. “En cambio, abusa de la funcionalidad Berkeley Packet Filter (BPF) para inspeccionar el tráfico de red directamente internamente del kernel, activándose sólo cuando recibe un paquete de activación específicamente diseñado”.
“No hay un espectador persistente ni una baliza obvia. El resultado es una trampilla oculta incrustada internamente del propio sistema activo”.
Las cadenas de ataques comienzan cuando el actor de la amenaza apunta a la infraestructura conectada a Internet y a los servicios de borde expuestos, como dispositivos VPN, firewalls y plataformas web asociadas con Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Suspensión Networks y Apache Struts, para obtener ataque original.
Una vez que se logra un punto de apoyo exitoso, se implementan marcos de balizas compatibles con Linux, como CrossC2, para simplificar las actividades posteriores a la explotación. Incluso se eliminaron Sliver, TinyShell (una puerta trasera de Unix), registradores de teclas y utilidades de fuerza bruta para simplificar la convento de credenciales y el movimiento limítrofe.
Sin secuestro, BPFDoor es fundamental para las operaciones de Red Menshen. Presenta dos componentes distintos: uno es una puerta trasera pasiva implementada en el sistema Linux comprometido para inspeccionar el tráfico entrante en rastreo de un paquete “mágico” predefinido instalando un filtro BPF y generando un shell remoto al cobrar dicho paquete. La otra parte integral del entorno es un compensador administrado por el atacante y es responsable de destinar los paquetes con formato distinto.
“El compensador todavía está diseñado para trabajar internamente del propio entorno de la víctima”, explicó Rapid7. “En este modo, puede hacerse suceder por procesos legítimos del sistema y desencadenar implantes adicionales en los hosts internos enviando paquetes de activación o abriendo un espectador específico para cobrar conexiones de shell, lo que permite efectivamente el movimiento limítrofe controlado entre sistemas comprometidos”.
Es más, se ha descubierto que ciertos artefactos de BPFDoor son compatibles con el protocolo de transmisión de control de flujo (SCTP), lo que potencialmente permite al adversario monitorear los protocolos nativos de las telecomunicaciones y obtener visibilidad del comportamiento y la ubicación de los suscriptores, e incluso rastrear a personas de interés.
Estos aspectos demuestran que la funcionalidad de BPFdoor va más allá de una puerta trasera sigilosa de Linux. “BPFdoor funciona como una capa de ataque integrada internamente de la red troncal de telecomunicaciones, proporcionando visibilidad silenciosa y a amplio plazo de las operaciones críticas de la red”, añadió el proveedor de seguridad.
No termina ahí. Una variable de BPFdoor previamente no documentada incorpora cambios arquitectónicos para hacerlo más evasivo y suceder desapercibido durante períodos prolongados en entornos empresariales y de telecomunicaciones modernos. Estos incluyen ocultar el paquete desencadenante internamente del tráfico HTTPS aparentemente oficial e introducir un mecanismo de exploración novedoso que garantiza que la dependencia “9999” aparezca en un desplazamiento de bytes fijo internamente de la solicitud.
Este camuflaje, a su vez, permite que el paquete mágico permanezca oculto internamente del tráfico HTTPS y evite provocar cambios en la posición de los datos internamente de la solicitud, y permite que el implante siempre busque el tanteador en un desplazamiento de bytes específico y, si está presente, lo interprete como el comando de activación.
La muestra recién descubierta todavía presenta un “mecanismo de comunicación libertino” que utiliza el Protocolo de mensajes de control de Internet (ICMP) para interactuar entre dos hosts infectados.
“Estos hallazgos reflejan una transformación más amplia en el arte del adversario”, dijo Rapid7. “Los atacantes están incorporando implantes más profundamente en la pila informática, apuntando a los núcleos del sistema activo y las plataformas de infraestructura en circunstancia de subordinarse solamente del malware del espacio del legatario”.
“Los entornos de telecomunicaciones, que combinan sistemas básicos, capas de virtualización, dispositivos de detención rendimiento y componentes centrales 4G/5G en contenedores, proporcionan un dominio ideal para una persistencia silenciosa y a amplio plazo. Al combinarse con servicios de hardware legítimos y tiempos de ejecución de contenedores, los implantes pueden eludir el monitoreo tradicional de puntos finales y permanecer sin ser detectados durante períodos prolongados”.
