Провідні телеком-оператори по всьому світу виявилися втягнутими в тривалу, майже невидиму кібершпигунську кампанію, пов’язану з китайським кластером загроз Red Menshen (також відомим як Earth Bluecrow, DecisiveArchitect, Red Dev 18). Згідно з дослідженням Rapid7, зловмисники роками утримують приховану присутність у мережевій інфраструктурі операторів, щоб отримувати доступ до урядових та інших високочутливих мереж, трафік яких проходить крізь вузли зв’язку.
Довготривала кібершпигунська кампанія проти телеком-операторів
За спостереженнями дослідників, Red Menshen цілеспрямовано атакує телеком-провайдерів на Близькому Сході та в Азії щонайменше з 2021 року. Мета кампанії полягає не в одноразовому порушенні роботи, а у стратегічному закріпленні в критичних системах та розгортанні «цифрових сплячих осередків», готових до активації у потрібний момент.
Rapid7 характеризує використовувані механізми доступу як одні з найбільш прихованих, виявлених у телеком-мережах. Оператори виступають транзитною точкою для колосальних обсягів державного та корпоративного трафіку, тому будь-який довгостроковий злом на цьому рівні означає системний ризик для національної та корпоративної безпеки.
Як Red Menshen проникає в інфраструктуру зв’язку
Компрометація периметра та латеральний рух
Початковий етап атаки зазвичай починається з компрометації інтернет-доступних edge-сервісів: VPN-шлюзів, міжмережевих екранів, веб-платформ та спеціалізованих аплайнсів. У зоні підвищеного ризику — рішення Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks, Apache Struts та інші продукти, широко розгорнуті в телеком-середовищі.
Після отримання доступу до периметра атакувальники розгортають Linux-сумісні фреймворки на кшталт CrossC2, інструменти Sliver, Unix-бекдор TinyShell, кейлогери та утиліти для брутфорсу. Ці компоненти використовуються для викрадення облікових даних, закріплення в інфраструктурі та латерального переміщення між хостами з мінімальним «шумом».
Імпланти рівня ядра та пасивні бекдори
Кампанія Red Menshen виділяється ставкою на імпланти в ядрі ОС, пасивні бекдори та малопомітні механізми віддаленого управління. На відміну від класичного шкідливого ПЗ, яке відкриває порти або встановлює постійні канали зв’язку з C2-серверами, ці інструменти практично не залишають слідів на рівні користувацьких процесів.
Ключовим інструментом групи є Linux-бекдор BPFdoor. Він зловживає можливостями Berkeley Packet Filter (BPF), аналізуючи трафік безпосередньо в ядрі системи та «прокидаючись» лише після отримання спеціального тригер-пакета. Відсутність відкритих портів і явного beaconing-трафіку перетворює BPFdoor на прихований люк усередині самої операційної системи, який складно виявити традиційними засобами моніторингу.
BPFdoor як інструмент контролю телеком-мереж
Архітектура BPFdoor побудована навколо двох компонентів. Перший — це пасивний бекдор на скомпрометованому Linux-хості, який встановлює BPF-фільтр і непомітно проглядає весь трафік у пошуках «магічного» пакета. Після його виявлення імплант відкриває віддалену shell-сесію для оператора загрози.
Другий компонент — контролер, з якого Red Menshen генерує тригер-пакети. Він може працювати як ззовні, так і усередині інфраструктури жертви, маскуючись під легітимні системні процеси. Перебуваючи у мережі оператора, контролер здатний активувати додаткові імпланти на внутрішніх хостах і організовувати тихе латеральне переміщення, минаючи традиційні засоби контролю периметра.
Моніторинг SCTP та спостереження за абонентами 4G/5G
Частина зразків BPFdoor підтримує SCTP (Stream Control Transmission Protocol), який широко використовується у телеком-ядрі, зокрема в мережах 4G/5G. Це дає зловмисникам можливість спостерігати за «рідними» для операторів протоколами сигналізації, аналізувати поведінку абонентів, їхню геолокацію та потенційно відстежувати конкретні цілі.
У такому сценарії BPFdoor фактично стає вбудованим рівнем доступу до телеком-магістралі, забезпечуючи довгостроковий малопомітний огляд критично важливих процесів мережі та абонентської активності.
Нова версія BPFdoor: приховування в HTTPS та ICMP
Rapid7 також виявила нову, раніше не описану модифікацію BPFdoor, у якій реалізовано низку змін, спрямованих на ще більшу прихованість у сучасних корпоративних і телеком-середовищах. Одне з ключових нововведень — маскування тригер-пакетів усередині зашифрованого HTTPS-трафіку.
У HTTP-запит вбудовується спеціальний маркер — рядок «9999», що завжди розміщується на фіксованому зміщенні від початку запиту. Завдяки цьому імплант перевіряє лише конкретну позицію в потоці даних і при збігу трактує пакет як команду активації, не порушуючи структуру легітимного HTTPS-обміну та майже не привертаючи уваги систем виявлення загроз.
Додатково нова версія BPFdoor застосовує «легкий» механізм комунікації на базі ICMP, що дозволяє вже зараженим хостам обмінюватися даними через, на перший погляд, безпечні службові пакети. Оскільки ICMP-трафік часто вважається низькоризиковим і слабо фільтрується, це створює ще один малопомітний канал управління.
Еволюція BPFdoor відображає ширший тренд: сучасні атакувальники зміщують фокус із рівня застосунків на ядро ОС, гіпервізори, мережеві та телеком-платформи. Складна архітектура телеком-мереж (bare-metal-сервери, системи віртуалізації, високопродуктивні аплайнси, контейнеризовані компоненти 4G/5G) створює сприятливі умови для тривалої прихованої присутності без помітного впливу на продуктивність.
На цьому тлі телеком-операторам і великим організаціям варто посилити управління вразливостями периметра (оперативне оновлення VPN-шлюзів, міжмережевих екранів і веб-платформ), впроваджувати моніторинг на рівні ядра та мережевої інфраструктури, використовувати поведінкову аналітику та проактивний threat hunting. Регулярний аудит конфігурацій, жорстка сегментація мережі, принципи Zero Trust і обмін інформацією про загрози з галузевими центрами кіберстійкості суттєво підвищують шанси виявити подібні «цифрові сплячі осередки» ще до того, як вони будуть використані для масштабного кібершпигунства.
