Rapid7: китайские хакеры глубоко проникли в телеком-инфраструктуру по всему миру

Исследователи компании Rapid7 выявили масштабную кампанию связанной с Китаем хакерской группы, направленную против магистральных телекоммуникационных сетей по всему миру. Обнаруженные инструменты работают в скрытом режиме и не привязаны ни к одной из известных APT-групп.

Цель кампании — не разовое проникновение, а создание устойчивых скрытых каналов долгосрочного доступа. Для этого использовалась комбинация пассивных бэкдоров и внедрений на уровне ядра ОС совместно с инструментами сбора учётных данных и командными средами.

Ключевым инструментом стал бэкдор BPFdoor для Linux: он работает через механизм Berkeley Packet Filter, анализирует трафик на уровне ядра и реагирует только на специально сформированные пакеты. По оценке Rapid7, это делает его полноценным механизмом доступа к базовой инфраструктуре телеком-магистралей. Для сохранения присутствия применялись также пассивный бэкдор TinyShell, инструменты перебора паролей SSH, кейлоггеры и утилиты с заранее подготовленными учётными данными.

Первоначальное проникновение осуществлялось через легитимные учётные записи и уязвимости в продуктах Cisco, Fortinet, VMware, Palo Alto Networks, Apache Struts и Ivanti. Для перемещения внутри сети использовался фреймворк CrossC2, связанный с Cobalt Strike. Вредоносные компоненты маскировались под легитимные процессы, а управляющие сигналы передавались через зашифрованный HTTPS-трафик.

По оценке специалистов, злоумышленников интересовали не отдельные серверы, а фундаментальные элементы цифровой инфраструктуры: физические узлы связи, облачные платформы Kubernetes и системы сигнализации телеком-оборудования.