Скрытые агенты в ядре сетей: китайские хакеры внедряют "спящие ячейки" в телеком-инфраструктуру

Телекоммуникационные сети давно стали центральной нервной системой цифрового мира, обеспечивая правительственную связь, координацию критических отраслей и лежа в основе цифровой идентичности миллиардов людей. Компрометация этих сетей имеет последствия, выходящие далеко за рамки одного оператора или региона. Современные сети - это многослойные экосистемы, состоящие из маршрутизаторов, платформ управления абонентами, систем аутентификации и биллинга. Доступ к ним позволяет злоумышленнику получить не просто данные, а видимость сигнальной информации, метаданные коммуникаций и возможность отслеживания абонентов, что открывает путь для долгосрочного сбора разведданных в геополитических целях.

Расследование, проведённое экспертами Rapid7 Labs, показало, что вместо краткосрочных взломов операторы сосредоточены на долгосрочном позиционировании, внедряя скрытные механизмы доступа глубоко в инфраструктуру. В центре этой активности находится BPFdoor - скрытный бэкдор для Linux, работающий на уровне ядра операционной системы. В отличие от обычного вредоносного ПО, он не открывает видимых портов и не поддерживает явных каналов управления. Вместо этого он злоупотребляет функцией Berkeley Packet Filter (BPF, механизм фильтрации сетевых пакетов в ядре), чтобы анализировать сетевой трафик непосредственно в ядре, активируясь только при получении специального триггер-пакета. Результатом становится скрытый лаз, встроенный в саму операционную систему, что значительно затрудняет обнаружение даже для опытных защитников.

Начальное проникновение в телеком-среды редко начинается глубоко в ядре. Злоумышленники фокусируются на открытых периферийных сервисах, таких как VPN-шлюзы (например, Ivanti Connect Secure), межсетевые экраны (Cisco, Fortinet, Palo Alto) или гипервизоры (VMware ESXi). После получения доступа они развертывают инструменты для закрепления и перемещения по сети, включая фреймворк CrossC2 (производный от Cobalt Strike для Linux), пассивный бэкдор TinyShell, а также утилиты для подбора паролей и перехвата ввода, адаптированные под терминологию телеком-операторов. Компания Rapid7 в отчёте подробно описывает, как эти инструменты используются для движения к системам управления абонентами, где хранятся наиболее ценные данные.

Особую тревогу вызывает способность BPFdoor работать с протоколом SCTP (Stream Control Transmission Protocol). Этот протокол не является типичным корпоративным трафиком, он лежит в основе сигнализации в сетях PSTN и обеспечивает связь между ключевыми элементами ядер сетей 4G и 5G. Настройка фильтров BPF для анализа трафика SCTP означает, что злоумышленники внедряются не просто на сервер, а непосредственно в сигнальную плоскость телеком-сети. Это даёт доступ к мощным возможностям сбора разведданных: от перехвата содержимого SMS и идентификаторов IMSI до отслеживания реального местоположения устройств через команды сигнализации. Такая компрометация перестаёт быть вопросом сохранения доступа к серверу, превращаясь в инструмент наблюдения за поведением населения в масштабе целой страны.

Исследование также выявило новые, ранее не документированные варианты BPFdoor, демонстрирующие эволюцию угрозы. Для улучшения скрытности триггерная команда теперь может быть встроена в легитимный HTTPS-трафик, проходящий через системы терминации SSL, обратные прокси и межсетевые экраны нового поколения. Чтобы команда выжила после возможной модификации заголовков прокси-серверами, злоумышленники используют математическую схему дополнения, гарантирующую, что маркер активации всегда оказывается на фиксированном смещении в 26 или 40 байт - своеобразной "магической линейке" внутри пакета. Кроме того, обнаружен механизм управления через ICMP (Internet Control Message Protocol), позволяющий скомпрометированным системам передавать инструкции друг другу с помощью специально сформированных пакетов, что минимизирует подозрительный внешний трафик.

Важной чертой является маскировка под легитимные компоненты инфраструктуры. Образцы BPFdoor имитируют службы аппаратного мониторинга на физических серверах HPE ProLiant, широко используемых в телеком-секторе, а также процессы контейнеризации, такие как Docker Daemon, которые являются основой для развёртывания облачных сетевых функций в ядрах 5G. Это демонстрирует глубокое понимание операторами целевой среды и нацеленность на максимально долгое сокрытие.

Для специалистов по безопасности эти находки означают необходимость смещения фокуса наблюдения вглубь операционной системы и сетевого стека. Традиционный мониторинг периметра и конечных точек может оказаться недостаточным для обнаружения активности, скрытой в ядре. Ключевыми индикаторами могут стать необычное использование raw-сокетов, аномальное поведение фильтрации пакетов или процессы, маскирующиеся под критически важные системные службы на инфраструктурных хостах. Осознание того, что современные средства защиты, такие как инспекция TLS, могут быть обращены против самой организации, используясь для доставки скрытых команд во внутреннюю сеть, требует пересмотра подходов к сегментации и мониторингу трафика уже после его расшифровки. Угроза, воплощённая в BPFdoor, знаменует собой тревожный тренд, когда противники перемещают свои инструменты всё глубже в стек программного обеспечения, прямо в ядро операционных систем, что открывает новую главу в противостоянии на поле информационной безопасности.

SHA256

• 123eb70723e4a186fa83ea5760a1ae0e16cffd76a62e6464d5b79b8d0979a7a7
• 1f4bde6295973e54ca0bb67c532095559bed024186219d8d0b4323b9750d82f2
• 29e1b75c659eabbd9977867f1adc876df2c11c1ae411fade20a0561f58f64baf
• 3b071d36ffa393a8891832590304b21ee9017b4977a747917e6c6116596851da
• 3e01a4bd73b3567f59bd80c7349e3b7ce85c15a6d94016ddfcd0bf3f239684dc
• 785538b21bf8c9f142bb5565f42d5da5e5150dea63eddd5c1b714dc6306c96ae
• adfdd11d69f4e971c87ca5b2073682d90118c0b3a3a9f5fbbda872ab1fb335c6
• dcb4872d437a14dc814015bf749fb2caf4cc5cb1776118c7e1748a4f657b303e
• ed768dd922742a597257ad684820d7562bb6be215710ec614bd041a22f3d6863