Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Spionagekampagne „Roter Menshen“

Spionagekampagne „Roter Menshen“

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Eine anhaltende und strategisch hoch entwickelte Cyber-Spionagekampagne, die mit einem China-nahen Akteur in Verbindung steht, hat sich erfolgreich in Telekommunikationsnetze eingeschleust. Hauptziel ist die Überwachung und Infiltration staatlicher Infrastrukturen über Telekommunikationsnetze als Einfallstor.

Diese langjährige Operation wird dem Bedrohungscluster Red Menshen zugeschrieben, der auch unter Aliasnamen wie Earth Bluecrow, DecisiveArchitect und Red Dev 18 geführt wird. Seit mindestens 2021 hat die Gruppe konsequent Telekommunikationsanbieter im Nahen Osten und in Asien ins Visier genommen und sich dabei tiefgreifenden und verdeckten Zugang zu kritischen Systemen verschafft.

Digitale Schläferzellen: Fortschrittliche Persistenztechniken

Sicherheitsforscher bezeichnen die in dieser Kampagne verwendeten Zugriffsmechanismen als einige der geheimsten, die jemals in Telekommunikationsnetzen beobachtet wurden. Diese Techniken funktionieren wie digitale Schläferzellen; sie bleiben inaktiv und unentdeckt, bis sie aktiviert werden.

Die Angreifer nutzen eine Kombination aus hochentwickelten Werkzeugen und Techniken, darunter:

  • Kernel-Level-Implantate, die tief im Betriebssystem operieren
  • Passive Hintertüren, die herkömmliche Erkennungsmethoden umgehen
  • Dienstprogramme zum Sammeln von Anmeldeinformationen zum Erfassen sensibler Zugriffsdaten
  • Plattformübergreifende Führungs- und Kontrollsysteme, die flexible Operationen ermöglichen

Diese Fähigkeiten ermöglichen es dem Bedrohungsakteur, langfristig präsent zu bleiben und gleichzeitig die erkennbare Aktivität zu minimieren.

BPFDoor: Die unsichtbare Hintertür im Kernel

Im Zentrum dieser Kampagne stehtBPFDoor , eine Linux-basierte Backdoor, die sich durch Heimlichkeit und Raffinesse auszeichnet. Anders als herkömmliche Malware erzeugt dieses Implantat keine erkennbaren Netzwerkspuren.

Anstatt Ports zu öffnen oder sichtbare Kommunikationskanäle aufrechtzuerhalten, nutzt BPFDoor die Funktionalität des Berkeley Packet Filters (BPF) im Linux-Kernel. Es analysiert den Netzwerkverkehr intern und wird nur aktiviert, wenn es ein speziell präpariertes „Magic Packet“ empfängt.

Dieses Design macht permanente Zuhörer oder Beacon-Aktivitäten überflüssig und bettet einen versteckten Zugriffsmechanismus direkt in das Betriebssystem ein. Das Ergebnis ist ein praktisch unsichtbarer Einstiegspunkt, der mit herkömmlichen Überwachungstools extrem schwer zu erkennen ist.

Erster Kompromiss: Ausnutzung der Edge-Infrastruktur

Die Angriffskette beginnt typischerweise mit Angriffen auf internetfähige Systeme und Endgeräte. Dazu gehören VPN-Gateways, Firewalls und webbasierte Dienste, insbesondere solche, die mit wichtigen Unternehmenstechnologien verbunden sind.

Sobald Angreifer Zugriff erlangt haben, setzen sie eine Reihe von Post-Exploitation-Tools ein, um ihre Kontrolle auszuweiten. Dazu gehören Frameworks wie CrossC2 sowie Sliver, TinyShell, Keylogger und Brute-Force-Tools. Gemeinsam ermöglichen diese Tools das Abgreifen von Zugangsdaten, interne Aufklärung und die laterale Bewegung in kompromittierten Umgebungen.

Zweikomponentenarchitektur: Steuerung und Aktivierung

BPFDoor arbeitet mit einer zweiteiligen Architektur, die auf Präzision und Unauffälligkeit ausgelegt ist. Eine Komponente befindet sich auf dem kompromittierten System und überwacht passiv den eingehenden Datenverkehr auf ein vordefiniertes Auslösepaket. Bei Erkennung eines solchen Pakets aktiviert sie sich durch das Starten einer Remote-Shell.

Die zweite Komponente ist ein vom Angreifer betriebener Controller. Dieser Controller sendet speziell präparierte Pakete, um Implantate zu aktivieren, und kann auch innerhalb der Systemumgebung des Opfers agieren. Bei internem Einsatz kann er sich als legitimer Systemprozess tarnen, weitere Infektionen koordinieren und eine kontrollierte laterale Ausbreitung zwischen Systemen ermöglichen.

Überwachung auf Telekommunikationsebene: Jenseits traditioneller Hintertüren

Bestimmte Varianten von BPFDoor weisen Funktionen auf, die über die Standardfunktionalität von Hintertüren hinausgehen. Die Unterstützung des Stream Control Transmission Protocol (SCTP) ermöglicht die Überwachung von Telekommunikationskommunikation.

Diese Funktion ermöglicht Angreifern Einblick in die Aktivitäten von Abonnenten, die Verfolgung des Nutzerverhaltens und potenziell die Ermittlung des physischen Standorts von Zielpersonen. Daher fungiert BPFDoor effektiv als Überwachungsschicht innerhalb der Telekommunikationsinfrastruktur und bietet langfristige, unauffällige Einblicke in sensible Vorgänge.

Ausweichen neu erfunden: Neue Varianten und Verbesserungen der Tarnung

Eine neu identifizierte Variante der BPFDoor weist architektonische Verbesserungen auf, die die Abwehrfähigkeit und Langlebigkeit erhöhen sollen. Zu den wichtigsten Weiterentwicklungen gehören:

  • Verbergen von Triggerpaketen im scheinbar legitimen HTTPS-Datenverkehr
  • Erzwingen einer festen Byte-Offset-Markierung („9999“) für eine zuverlässige Aktivierungserkennung
  • Einführung der ICMP-basierten Kommunikation zwischen infizierten Hosts für unauffällige Interaktion

Diese Techniken ermöglichen es, bösartigen Datenverkehr nahtlos in die normale Netzwerkaktivität einzubetten, wodurch die Wahrscheinlichkeit der Entdeckung deutlich verringert wird, während gleichzeitig eine zuverlässige Befehlsausführung gewährleistet bleibt.

Sich weiterentwickelnde Handelspraktiken: Tiefer im Stack

Die Kampagne verdeutlicht einen umfassenderen Wandel in der Vorgehensweise von Angreifern. Anstatt sich ausschließlich auf Malware im Benutzermodus zu verlassen, betten Angreifer zunehmend Schadsoftware tiefer in die Systemarchitektur ein, insbesondere auf Kernel- und Infrastrukturebene.

Telekommunikationsumgebungen sind aufgrund ihrer Komplexität besonders attraktive Ziele. Diese Komplexität umfasst Bare-Metal-Systeme, Virtualisierungsschichten, leistungsstarke Netzwerkhardware und containerisierte 4G/5G-Kernkomponenten. Durch die Integration in legitime Dienste und Laufzeitumgebungen können diese Schadprogramme herkömmliche Endpunktschutzmechanismen umgehen und über längere Zeiträume unentdeckt bleiben.

Fazit: Eine neue Grenze der Cyberspionage

Diese Kampagne verdeutlicht eine bedeutende Weiterentwicklung der Taktiken der Cyberspionage. Durch die Ausnutzung der Telekommunikationsinfrastruktur und von Tarnmechanismen auf Kernel-Ebene erlangen Angreifer langfristigen, schwer erkennbaren Zugriff auf hochsensible Systeme.

Der Einsatz fortschrittlicher Tools wie BPFDoor in Verbindung mit innovativen Ausweichtechniken und tiefer Systemintegration stellt eine wachsende Herausforderung für die IT-Sicherheit dar. Die Erkennung und Abwehr solcher Bedrohungen erfordert eine verbesserte Transparenz der unteren Schichten des IT-Stacks und ein Überdenken traditioneller Sicherheitsansätze.

Im Trend

Am häufigsten gesehen

Wird geladen...