Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Campagne d'espionnage de Red Menshen

Campagne d'espionnage de Red Menshen

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)
Se traduisent par :

Une campagne de cyberespionnage persistante et hautement stratégique, menée par un acteur malveillant lié à la Chine, s'est infiltrée avec succès dans les réseaux de télécommunications. Son principal objectif est de surveiller et d'infiltrer les infrastructures gouvernementales en utilisant les réseaux de télécommunications comme passerelle.

Cette opération de longue durée est attribuée au groupe de menaces connu sous le nom de Red Menshen, également suivi sous des alias tels que Earth Bluecrow, DecisiveArchitect et Red Dev 18. Depuis au moins 2021, le groupe cible systématiquement les fournisseurs de télécommunications au Moyen-Orient et en Asie, établissant un accès profond et clandestin au sein des systèmes critiques.

Cellules dormantes numériques : techniques de persistance avancées

Des chercheurs en sécurité ont qualifié les mécanismes d'accès utilisés lors de cette campagne de parmi les plus discrets jamais observés sur les réseaux de télécommunications. Ces techniques fonctionnent comme des cellules dormantes numériques, restant inactives et indétectables jusqu'à leur activation.

Les attaquants utilisent une combinaison d'outils et de techniques très avancés, notamment :

  • Implants au niveau du noyau qui fonctionnent profondément au sein du système d'exploitation
  • Portes dérobées passives qui évitent les méthodes de détection traditionnelles
  • Outils de récupération d'identifiants pour la collecte de données d'accès sensibles
  • Cadres de commande et de contrôle multiplateformes permettant des opérations flexibles

Ces capacités permettent à l'acteur malveillant de maintenir une présence à long terme tout en minimisant son activité détectable.

BPFDoor : La porte dérobée invisible dans le noyau

Au cœur de cette campagne se trouveBPFDoor , une porte dérobée Linux qui illustre la furtivité et la sophistication. Contrairement aux logiciels malveillants traditionnels, cet implant ne génère aucun indicateur réseau détectable.

Au lieu d'ouvrir des ports ou de maintenir des canaux de communication visibles, BPFDoor exploite la fonctionnalité de filtrage de paquets Berkeley (BPF) au sein du noyau Linux. Il inspecte le trafic réseau en interne et ne s'active que lorsqu'il reçoit un paquet « magique » spécialement conçu.

Cette conception élimine le besoin d'écouteurs permanents ou d'activités de balisage, intégrant ainsi un mécanisme d'accès caché directement dans le système d'exploitation. Il en résulte un point d'entrée pratiquement invisible, extrêmement difficile à détecter par les outils de surveillance classiques.

Compromission initiale : Exploitation de l’infrastructure périphérique

La chaîne d'attaque commence généralement par cibler les systèmes exposés à Internet et les périphériques de périphérie. Il s'agit notamment des passerelles VPN, des pare-feu et des services web, en particulier ceux associés aux principales technologies d'entreprise.

Une fois l'accès initial obtenu, les attaquants déploient une suite d'outils de post-exploitation pour étendre leur contrôle. Parmi ceux-ci figurent des frameworks comme CrossC2, ainsi que Sliver, TinyShell, des enregistreurs de frappe et des utilitaires de force brute. Ensemble, ces outils permettent la collecte d'identifiants, la reconnaissance interne et le déplacement latéral au sein des environnements compromis.

Architecture à deux composants : contrôle et activation

BPFDoor fonctionne selon une architecture en deux parties conçue pour la précision et la discrétion. Un composant réside sur le système compromis et surveille passivement le trafic entrant à la recherche d'un paquet déclencheur prédéfini. Dès sa détection, il s'active en ouvrant un shell distant.

Le second composant est un contrôleur piloté par l'attaquant. Ce contrôleur envoie des paquets spécialement conçus pour activer les implants et peut également fonctionner au sein de l'environnement de la victime. Déployé en interne, il peut se dissimuler sous l'apparence de processus système légitimes, coordonner des infections supplémentaires et faciliter la propagation latérale contrôlée entre les systèmes.

Surveillance au niveau des télécommunications : au-delà des portes dérobées traditionnelles

Certaines variantes de BPFDoor offrent des fonctionnalités qui dépassent le cadre d'une porte dérobée standard. La prise en charge du protocole SCTP (Stream Control Transmission Protocol) permet la surveillance des communications spécifiques aux télécommunications.

Cette fonctionnalité permet aux attaquants d'obtenir des informations sur l'activité des abonnés, de suivre le comportement des utilisateurs et potentiellement de déterminer la localisation physique des personnes ciblées. De ce fait, BPFDoor agit comme une couche de surveillance intégrée à l'infrastructure des télécommunications, offrant une visibilité discrète et à long terme sur les opérations sensibles.

L’évasion réinventée : nouvelles variantes et améliorations furtives

Une nouvelle variante de BPFDoor présente des améliorations architecturales visant à optimiser l'évasion et la durée de vie. Principales avancées :

  • Dissimulation de paquets de déclenchement au sein d'un trafic HTTPS apparemment légitime
  • L'application d'un marqueur de décalage d'octet fixe (« 9999 ») pour une détection d'activation fiable
  • Introduction d'une communication basée sur ICMP entre hôtes infectés pour une interaction discrète

Ces techniques permettent au trafic malveillant de se fondre parfaitement dans l'activité réseau normale, réduisant considérablement la probabilité de détection tout en maintenant une exécution fiable des commandes.

Évolution des techniques de travail : Au cœur de la pile

Cette campagne met en lumière une évolution plus générale des méthodes des attaquants. Au lieu de se contenter de logiciels malveillants s'exécutant dans l'espace utilisateur, les adversaires intègrent de plus en plus d'implants plus profondément dans la pile informatique, notamment au niveau du noyau et de l'infrastructure.

Les environnements de télécommunications constituent des cibles particulièrement attrayantes en raison de leur complexité : systèmes physiques, couches de virtualisation, matériel réseau haute performance et composants cœur 4G/5G conteneurisés. En s’intégrant aux services légitimes et aux environnements d’exécution, ces implants peuvent contourner les défenses traditionnelles des terminaux et persister indétectables pendant de longues périodes.

Conclusion : Une nouvelle frontière dans le cyberespionnage

Cette campagne illustre une évolution significative des tactiques de cyberespionnage. En exploitant l'infrastructure des télécommunications et des mécanismes de furtivité au niveau du noyau, les attaquants obtiennent un accès discret et durable à des environnements hautement sensibles.

L'utilisation d'outils avancés comme BPFDoor, combinée à des techniques d'évasion innovantes et à une intégration système poussée, représente un défi croissant pour les équipes de défense. La détection et l'atténuation de ces menaces exigent une meilleure visibilité des couches inférieures de l'infrastructure informatique et une refonte des approches de sécurité traditionnelles.

Tendance

Le plus regardé

Chargement...