Ваш интернет под колпаком, а вы и не заметили. Рассказываем про невидимый код для слежки за миллионами
Рассказываем о методах работы самой скрытной группировки последних лет.
Компания Rapid7 недавно рассказала о затяжной шпионской операции против телеком-инфраструктуры, где злоумышленники старались не шуметь и не спешить. Вместо громких атак команда увидела куда более тревожную картину — скрытые точки доступа, которые месяцами могут оставаться незаметными в сетях операторов связи и ждать команды для запуска.
По данным Rapid7, за размещением бэкдоров стоит группа Red Menshen, которую связывают с Китаем. Целью кампании называют долгосрочную разведку, в том числе слежку за правительственными сетями. Речь идёт не о взломе одного сервера или одного подрядчика. Компрометация телеком-сетей даёт доступ к среде, через которую проходят государственная связь, работа критически важных отраслей и цифровые данные миллионов абонентов.
Ключевым инструментом авторы отчёта называют Linux-бэкдор BPFdoor. В отличие от обычного вредоносного ПО, BPFdoor не открывает заметные сетевые порты и не поддерживает привычный канал управления. Вредоносный код прячется глубоко в системе и активируется только после специально подготовленного сетевого сигнала. Такой подход сильно усложняет обнаружение даже для опытных защитников.
Rapid7 отмечает, что BPFdoor давно перестал быть единичной находкой. В ходе расследования специалисты увидели целую схему закрепления в телеком-среде. Для начального проникновения злоумышленники, как утверждается, использовали внешние сервисы и пограничные устройства, включая VPN-шлюзы, маршрутизаторы, межсетевые экраны и платформы виртуализации. После входа в сеть в ход шли CrossC2, TinyShell, кейлоггеры и утилиты для подбора учётных данных.
Отдельное внимание в отчёте уделено новым вариантам BPFdoor. По данным Rapid7, свежие образцы умеют маскировать управляющие команды под обычный HTTPS-трафик, чтобы проходить через прокси, балансировщики и другие защитные механизмы. Кроме того, вредоносное ПО использует ICMP как скрытый канал передачи команд между заражёнными узлами, а также подстраивается под телеком-среду, имитируя легитимные процессы на серверах HPE ProLiant и в контейнерных платформах.
Особую опасность специалисты связывают с работой BPFdoor рядом с телеком-протоколами вроде SCTP, которые используются в сетях 4G и 5G. Такое положение открывает путь к слежке за перемещением устройств, сбору идентификаторов абонентов и наблюдению за чувствительными коммуникациями. Rapid7 уже передала сведения о находках профильным структурам и уведомила затронутые организации, а также опубликовала индикаторы компрометации и сценарий проверки Linux-систем на признаки заражения.