Powiązana z Chinami grupa Red Menshen szpieguje sieci telekomunikacyjne za pomocą BPFDoor

Współczesna architektura sieci telekomunikacyjnych stała się nowym polem bitwy dla grup APT (Advanced Persistent Threat), które zamiast bezpośrednich ataków na końcowe stacje robocze, wybierają głęboką infiltrację infrastruktury krytycznej. Najnowsze raporty bezpieczeństwa rzucają światło na operację grupy powiązanej z Chinami, znanej jako Red Menshen (identyfikowanej również pod nazwą Earth Bluecrow). Ten podmiot prowadzi długofalową kampanię szpiegowską, wykorzystując niezwykle wyrafinowane narzędzia do utrzymywania stałego dostępu do sieci rządowych poprzez systemy operatorów telekomunikacyjnych.

Kluczem do sukcesu napastników jest wykorzystanie implantu o nazwie BPFDoor. Jest to złośliwe oprogramowanie charakteryzujące się wyjątkową pasywnością i trudnością w wykryciu, ponieważ operuje na poziomie filtra pakietów Berkeley Packet Filter (BPF). Dzięki temu rozwiązaniu, Red Menshen może monitorować ruch sieciowy i odbierać polecenia bez konieczności otwierania standardowych portów komunikacyjnych, co czyni go niemal niewidocznym dla tradycyjnych systemów IDS (Intrusion Detection Systems) oraz firewalli. Strategiczne pozycjonowanie wewnątrz węzłów telekomunikacyjnych pozwala grupie na przechwytywanie danych przesyłanych między agencjami rządowymi a ich partnerami zewnętrznymi.

Mechanika niewidzialności w infrastrukturze krytycznej

To, co wyróżnia Red Menshen na tle innych grup cyberprzestępczych, to ich cierpliwość i dbałość o detale techniczne. Wykorzystanie BPFDoor pozwala na tzw. "magic packet activation". Implant nasłuchuje na surowych gniazdach sieciowych (raw sockets), czekając na konkretną sekwencję danych, która aktywuje jego funkcje. Ponieważ kod ten wykonuje się w kontekście jądra systemu lub na bardzo niskim poziomie abstrakcji sieciowej, standardowe narzędzia do monitorowania procesów często go omijają. Dla globalnych operatorów oznacza to, że ich własna infrastruktura staje się przekaźnikiem dla obcego wywiadu, nie wykazując przy tym typowych oznak infekcji.

Działania grupy Earth Bluecrow koncentrują się na utrzymaniu trwałego dostępu (persistence) przy minimalnym ryzyku demaskacji. W przeciwieństwie do grup ransomware, które dążą do szybkiego zysku i paraliżu systemów, Red Menshen operuje w cieniu przez miesiące, a nawet lata. Ich celem jest eksfiltracja danych o znaczeniu strategicznym, politycznym i gospodarczym. Infekcja sieci telekomunikacyjnej daje im unikalną przewagę: możliwość selektywnego podsłuchiwania komunikacji wielu podmiotów jednocześnie, korzystając z jednego, dobrze ukrytego punktu wejścia.

• Narzędzie główne: BPFDoor – pasywny implant wykorzystujący technologię Berkeley Packet Filter.
• Cele ataku: Operatorzy telekomunikacyjni oraz powiązane z nimi sieci rządowe.
• Metodyka: Stealthy persistence, unikanie wykrycia poprzez brak otwartych portów nasłuchujących.
• Atrybucja: Red Menshen (Earth Bluecrow), grupa o profilu szpiegowskim powiązana z Chinami.

Ewolucja dostępu i konieczność wdrożenia ZTNA

W obliczu tak zaawansowanych zagrożeń, tradycyjne podejście do bezpieczeństwa oparte na obwodzie sieciowym (perimeter security) przestaje być skuteczne. Skoro napastnicy potrafią zagnieździć się wewnątrz zaufanej infrastruktury dostawcy usług, samo połączenie VPN nie gwarantuje już poufności. Branża technologiczna coraz głośniej mówi o konieczności przejścia na model ZTNA (Zero Trust Network Access), który eliminuje koncepcję zaufanego segmentu sieci. W modelu tym każdy użytkownik i każde urządzenie muszą być weryfikowane przy każdej próbie dostępu do konkretnej aplikacji, niezależnie od tego, czy znajdują się wewnątrz sieci korporacyjnej, czy poza nią.

Wdrożenie ZTNA pozwala na modernizację bezpiecznego dostępu i, co najważniejsze w kontekście działań Red Menshen, eliminuje możliwość ruchu bocznego (lateral movement). Nawet jeśli implant taki jak BPFDoor zdoła przejąć kontrolę nad jednym z węzłów, architektura Zero Trust uniemożliwia mu swobodne skanowanie i infekowanie kolejnych zasobów. Bezpośrednie łączenie użytkowników z aplikacjami, zamiast dawania im dostępu do całych segmentów sieci, drastycznie zmniejsza powierzchnię ataku, którą tak skutecznie eksploatują grupy APT.

Dla dyrektorów ds. bezpieczeństwa informacji (CISO), kampania Red Menshen jest sygnałem alarmowym. Pokazuje ona, że infrastruktura, którą dotychczas uważano za fundament bezpiecznej komunikacji, może być aktywnie wykorzystywana przeciwko użytkownikowi. Strategia "The CISO's Guide: From VPN Replacement to Comprehensive ZTNA" staje się w tym kontekście nie tylko sugestią technologiczną, ale niezbędnym elementem przetrwania w środowisku, gdzie granica między siecią publiczną a prywatną uległa całkowitemu zatarciu.

Systemowa odpowiedź na zagrożenia typu stealth

Walka z implantami klasy BPFDoor wymaga zmiany paradygmatu w monitorowaniu sieci. Zamiast szukać znanych sygnatur wirusów, zespoły SOC (Security Operations Center) muszą skupić się na analizie anomalii w zachowaniu protokołów i nietypowych wzorcach ruchu na niskich warstwach modelu OSI. Grupa Red Menshen udowodniła, że potrafi adaptować swoje narzędzia do zmieniających się zabezpieczeń, co sugeruje, że ich kampania będzie ewoluować w stronę jeszcze większego rozproszenia i wykorzystania procesów systemowych do maskowania swojej aktywności.

"Skuteczność Red Menshen nie wynika z brutalnej siły, lecz z perfekcyjnego zrozumienia architektury sieciowej i wykorzystania jej własnych mechanizmów do celów wywiadowczych. To szpiegostwo w czystej, cyfrowej formie."

Analizując obecny krajobraz zagrożeń, można postawić tezę, że ataki na łańcuch dostaw usług telekomunikacyjnych staną się standardem w działaniach grup państwowych. Możliwość monitorowania ruchu z poziomu szkieletu sieciowego jest zbyt cenna, by napastnicy z niej zrezygnowali. Jedyną skuteczną barierą będzie pełna segmentacja usług i odejście od zaufania opartego na adresacji IP na rzecz tożsamości cyfrowej i kontekstowej autoryzacji każdego pakietu danych. Bez radykalnej zmiany w podejściu do architektury dostępu, organizacje rządowe pozostaną otwartą księgą dla podmiotów takich jak Earth Bluecrow.