Red Menshen koristi BPFDoor za prikriveno prisustvo u telekom mrežama
Rapid7 je objavio analizu dugotrajne kampanje povezane sa kineskom grupom Red Menshen, koja održava prikriven pristup unutar telekom mreža radi špijunaže, uključujući nadzor nad mrežama od državnog interesa. U središtu aktivnosti je BPFDoor, pasivni Linux backdoor koji koristi Berkeley Packet Filter kako bi pratio saobraćaj u kernelu i aktivirao se tek po prijemu posebno oblikovanog paketa, bez klasičnog otvorenog porta ili vidljivog C2 saobraćaja. Istraživači navode i novije varijante koje skrivaju okidač unutar naizgled legitimnog HTTPS saobraćaja, kao i podršku za SCTP, što ovakvo prisustvo čini posebno opasnim u telekom okruženjima.
Ova priča je važna zato što ne govori samo o još jednom malveru, već o dugoročnom i tihom usađivanju pristupa duboko u kritičnu infrastrukturu. Kada se ovakav implant nađe u telekom mreži, napadač ne dobija samo tehnički pristup serveru, već potencijalno i uvid u signalizaciju, tokove komunikacije i kretanje podataka kroz samu kičmu sistema. To je tip pretnje koji dugo može da ostane ispod radara, naročito u Linux, bare-metal i kontejnerskim okruženjima gde klasični alati za detekciju često nemaju dovoljnu dubinu.
- Proveriti Linux sisteme u telekom i mrežnoj infrastrukturi na indikatore BPFDoor prisustva i neuobičajene BPF aktivnosti
- Pregledati izloženost internet-facing uređaja i servisa kao što su VPN, firewall i web platforme
- Pojačati nadzor nad HTTPS, ICMP i SCTP saobraćajem u segmentima gde takvi obrasci odstupaju od očekivanog ponašanja
- Analizirati procese koji se predstavljaju kao legitimne sistemske ili kontejnerske komponente
- Ograničiti lateralno kretanje kroz segmentaciju, kontrolu privilegija i stroži nadzor administratorskih kredencijala