Связанная с Китаем группа хакеров закрепилась в магистральных телекоммуникационных сетях по всему миру и внедрила скрытые механизмы доступа прямо на уровне ядра операционных систем. К такому выводу пришли исследователи компании Rapid7.
Обнаруженные инструменты работают в скрытом режиме и не привязаны ни к одной из известных APT-групп. Судя по всему, их назначение связано с разведкой высокого уровня, в том числе в отношении государственных систем.
Атаки проводились в рамках длительной кампании с повторяющимися техническими элементами. Задача была не просто попасть внутрь, а создать устойчивые скрытые каналы доступа и надолго там остаться.
В ходе расследования выявлены пассивные бэкдоры и внедрения на уровне ядра, которые использовались вместе с инструментами сбора учётных данных и универсальными командными средами. Такая комбинация даёт не разовый доступ, а долгосрочное присутствие внутри сети.
Ключевым инструментом кампании стал бэкдор BPFdoor, заточенный под системы Linux. Он работает через механизм Berkeley Packet Filter, анализирует трафик на уровне ядра и реагирует только на специально сформированные пакеты. В Rapid7 говорят, что это выводит его за рамки обычных скрытых инструментов и превращает в полноценный механизм доступа к базовой инфраструктуре телеком-магистралей.
Изначально злоумышленники заходили через легитимные учётные записи и уязвимости в популярных продуктах. В списке затронутых решений фигурируют Cisco, Fortinet, VMware, Palo Alto Networks, платформы на базе Apache Struts и устройства Ivanti.
Уже закрепившись в системе, злоумышленники использовали инструменты удалённого управления, в частности фреймворк CrossC2, связанный с Cobalt Strike. С его помощью выполняли команды, перемещались внутри сети и готовили почву для дальнейших атак.
Для сохранения доступа применялся пассивный бэкдор TinyShell, инструменты перебора паролей SSH, кейлоггеры и утилиты с заранее подготовленными наборами учётных данных, заточенными под телеком-среду.
Вредоносные компоненты при этом маскировались под легитимные процессы, имитируя корпоративную инфраструктуру или контейнерные системы. В новых вариантах управляющие сигналы шли через зашифрованный HTTPS-трафик, а механизм активации был встроен так, чтобы совпадать с определённым смещением в анализируемых данных.
По оценке специалистов Rapid7, злоумышленников интересовали не отдельные серверы, а фундаментальные элементы цифровой среды. Физические узлы связи, облачные платформы Kubernetes, системы сигнализации, обеспечивающие работу современного телеком-оборудования.