Крупные телеком‑операторы по всему миру столкнулись с длительной и мало заметной кибершпионажной кампанией, связанной с китайским кластером угроз Red Menshen (также известным как Earth Bluecrow, DecisiveArchitect, Red Dev 18). По данным исследования Rapid7, злоумышленники годами закрепляются в сетевой инфраструктуре, чтобы получать доступ к правительственным и другим высокочувствительным сетям, проходящим через узлы операторов связи.
Долгосрочная кибершпионажная кампания против телеком‑операторов
Red Menshen систематически атакует телеком‑провайдеров на Ближнем Востоке и в Азии как минимум с 2021 года. Целью кампании является не разовое причинение ущерба, а стратегическое позиционирование внутри критически важных систем: закладка и поддержание скрытых механизмов удалённого доступа, позволяющих незаметно присутствовать в инфраструктуре годами.
Исследователи Rapid7 описывают используемые злоумышленниками механизмы доступа как «некоторые из самых скрытных цифровых спящих ячеек, когда‑либо обнаруженных в телекоммуникационных сетях». Такой подход делает кампанию особенно опасной для операторов связи, которые являются транзитной точкой для огромного объёма правительственного и корпоративного трафика.
Как работает скрытая инфраструктура Red Menshen
Kernel‑импланты и пассивные backdoor‑ы
Кампания Red Menshen выделяется использованием имплантов уровня ядра, пассивных бэкдоров, утилит для кражи учётных данных и межплатформенных фреймворков удалённого управления. Это позволяет злоумышленникам обитать в целевой сети с минимальным сетевым «шумом» и следами на уровне пользовательских процессов.
Ключевым инструментом группировки является Linux‑бэкдор BPFdoor. В отличие от обычного вредоносного ПО, BPFdoor не открывает порты для прослушивания и не устанавливает привычные каналы управления. Вместо этого он злоупотребляет возможностями Berkeley Packet Filter (BPF), анализируя сетевые пакеты непосредственно в ядре операционной системы и «просыпаясь» только при получении специального триггер‑пакета.
Отсутствие постоянного слушателя и явного beaconing‑трафика превращает BPFdoor в своего рода «скрытый люк внутри самой операционной системы», который чрезвычайно трудно обнаружить традиционными средствами мониторинга.
Цепочка атаки: от периметра до внутренней сети
Атаки Red Menshen начинаются с компрометации интернет‑доступной инфраструктуры и edge‑сервисов. В зоне особого риска оказываются VPN‑шлюзы, межсетевые экраны и веб‑платформы на базе решений Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks, Apache Struts и других популярных в телеком‑среде продуктов.
После получения первоначального доступа злоумышленники разворачивают Linux‑совместимые фреймворки наподобие CrossC2 для постэксплуатации, а также инструменты Sliver, TinyShell (Unix‑backdoor), кейлоггеры и утилиты для брутфорса. Эти компоненты используются для кражи учётных данных, закрепления в сети и латерального перемещения между хостами.
BPFdoor: скрытый уровень доступа в ядре Linux
Архитектура BPFdoor состоит из двух ключевых элементов. Первый — это пассивный бэкдор, развёрнутый на скомпрометированной Linux‑системе. Он устанавливает BPF‑фильтр и в фоновом режиме анализирует проходящий через хост трафик в поисках заранее определённого «магического» пакета. При его обнаружении имплант создаёт удалённую shell‑сессию для атакующего.
Второй компонент — контроллер, которым управляет оператор Red Menshen. Его задача — генерировать и отправлять специальные триггер‑пакеты. Причём контроллер может работать не только с внешнего сервера, но и внутри скомпрометированной инфраструктуры жертвы, маскируясь под легитимные системные процессы.
Находясь в сети оператора связи, контроллер способен активировать дополнительные импланты на внутренних хостах, отправляя им пакеты‑активаторы или открывая локальные слушатели для приёма подключений. Это обеспечивает управляемое и относительно тихое латеральное перемещение между системами, минуя многие средства контроля периметра.
Мониторинг телеком‑трафика и слежка за абонентами
Отдельные артефакты BPFdoor поддерживают протокол SCTP (Stream Control Transmission Protocol), который широко используется в телеком‑инфраструктуре, включая 4G/5G‑ядро. Это даёт злоумышленникам возможность наблюдать за «родными» для операторов протоколами сигнализации, получать видимость поведения абонентов, их геолокации и, потенциально, отслеживать конкретных лиц.
В таком сценарии BPFdoor выполняет роль встраиваемого уровня доступа в саму телеком‑магистраль, обеспечивая долговременный, малошумный обзор критически важных операций сети.
Новые модификации BPFdoor и эволюция тактик атак
Rapid7 также зафиксировала новую, ранее не описанную модификацию BPFdoor, в которой внедрён ряд архитектурных изменений для повышения скрытности в современных корпоративных и телеком‑средах. Одно из ключевых новшеств — маскировка триггер‑пакета внутри зашифрованного HTTPS‑трафика.
В запрос намеренно встроен маркер — строка «9999», которая всегда располагается на фиксированном смещении по отношению к началу HTTP‑запроса. Такой «якорь» позволяет импланту проверять только определённую позицию в потоке данных и, при совпадении, трактовать пакет как команду активации, не нарушая структуру легитимного HTTPS‑обмена.
Кроме того, новая версия BPFdoor использует «лёгкий» механизм коммуникации на базе ICMP, позволяющий двум уже заражённым хостам обмениваться данными через, казалось бы, безобидные сервисные пакеты.
По оценке Rapid7, эти изменения отражают более широкий тренд: современные атакующие смещают фокус на более низкие уровни стека — ядро ОС, гипервизоры, сетевые и телеком‑платформы, а не только на пользовательские процессы. Сложная архитектура телеком‑сетей — bare‑metal‑серверы, системы виртуализации, high‑performance‑апплаиансы, контейнеризированные 4G/5G‑компоненты — создаёт идеальные условия для малошумной, длительной скрытности.
На этом фоне операторам связи и крупным организациям важно усиливать защиту периметра (оперативное обновление VPN‑шлюзов, межсетевых экранов и web‑платформ), внедрять мониторинг на уровне ядра и сетевой инфраструктуры, использовать поведенческую аналитику и проактивный threat hunting. Регулярный аудит конфигураций, сегментация сети и обмен информацией об угрозах с отраслевыми центрами киберустойчивости становятся ключевыми мерами, позволяющими обнаружить такие «цифровые спящие ячейки» до того, как они будут использованы для масштабного кибершпионажа.
