ريد منشن تستهدف شبكات الاتصالات ببرمجية BPFDoor الخفية

كشف تقرير تقني عن حملة تجسس تديرها مجموعة "ريد منشن" (Red Menshen) تستهدف شبكات الاتصالات عبر برمجية BPFDoor المتطورة والخفية داخل الأنظمة.

تستمر التهديدات السيبرانية في التطور بشكل مذهل، حيث تم رصد نشاط استراتيجي طويل الأمد من قبل جهة تهديد مرتبطة بالصين، تهدف إلى اختراق شبكات الاتصالات لإجراء عمليات تجسس واسعة النطاق ضد المؤسسات الحكومية. ووفقاً لما تابعه فريق تيكبامين، فإن هذه المجموعة تظهر احترافية عالية في التخفي والبقاء داخل البيئات الحساسة لفترات طويلة.

ما هي مجموعة ريد منشن وكيف تتجسس على الاتصالات؟

تُعرف مجموعة التهديد هذه بأسماء متعددة في الأوساط الأمنية، منها "ريد منشن" (Red Menshen)، و"إيرث بلوكرو" (Earth Bluecrow)، و"ريد ديف 18" (Red Dev 18). تمتلك المجموعة سجلاً حافلاً باستهداف مزودي خدمات الاتصالات في منطقة الشرق الأوسط وآسيا منذ عام 2021 على الأقل.

وصف الخبراء آليات الوصول التي تستخدمها المجموعة بأنها واحدة من أخطر "الخلايا النائمة الرقمية" التي تم اكتشافها على الإطلاق. وتعتمد الحملة على مزيج معقد من الأدوات تشمل:

• زرع برمجيات على مستوى النواة (Kernel-level implants).
• أبواب خلفية سلبية (Passive backdoors).
• أدوات لحصاد بيانات الاعتماد (Credential harvesting).
• أطر عمل للتحكم عابرة للمنصات.

كيف تعمل برمجية BPFDoor الخفية داخل أنظمة لينكس؟

تعتبر برمجية BPFDoor السلاح الأبرز في ترسانة "ريد منشن". وهي عبارة عن باب خلفي يستهدف أنظمة لينكس (Linux) ويتميز بقدرة فائقة على التخفي عن أعين برامج الحماية التقليدية.

مميزات برمجية BPFDoor التقنية:

• لا تفتح منافذ استماع (Listening ports) مرئية في النظام.
• لا تحافظ على قنوات اتصال دائمة مع خوادم التحكم.
• تسيء استخدام وظيفة Berkeley Packet Filter (BPF) لفحص حركة مرور الشبكة مباشرة داخل النواة.
• تنشط فقط عند استقبال حزمة بيانات خاصة (Magic Packet) مصممة بعناية.

هذا الأسلوب يجعل البرمجية بمثابة "فخ مخفي" مدمج داخل نظام التشغيل نفسه، مما يجعل اكتشافها يتطلب فحصاً عميقاً ودقيقاً للغاية لحركة مرور الشبكة على مستوى النواة.

ما هي الثغرات والخدمات التي تستهدفها المجموعة؟

تبدأ سلسلة الهجمات باستهداف البنية التحتية المتصلة بالإنترنت والخدمات الطرفية المكشوفة. كما يوضح تيكبامين، فإن المهاجمين يركزون على المنصات المرتبطة بشركات تقنية كبرى للحصول على موطئ قدم أولي، ومن أبرزها:

• أجهزة الشبكات الافتراضية الخاصة (VPN) من إيفانتي (Ivanti).
• جدران الحماية من سيسكو (Cisco) وجونيبر (Juniper Networks).
• أنظمة فورتينت (Fortinet) وبالو ألتو (Palo Alto Networks).
• منصات الويب مثل في إم وير (VMware) وأباتشي ستراتس (Apache Struts).

بمجرد اختراق النظام، يتم نشر أطر عمل إضافية مثل CrossC2 وSliver وTinyShell، بالإضافة إلى أدوات تسجيل ضربات المفاتيح (Keyloggers) لتسهيل التحرك الجانبي داخل الشبكة وجمع كلمات المرور.

كيف يمكن تعزيز الأمن الرقمي ضد هذه التهديدات؟

إن مواجهة مثل هذه الحملات المنظمة تتطلب استراتيجية أمنية متعددة الطبقات. يجب على المؤسسات، وخاصة في قطاع الاتصالات، تحديث كافة الأنظمة الطرفية بشكل دوري وسد الثغرات الأمنية فور اكتشافها.

في الختام، يظل الوعي بأساليب مجموعات التجسس مثل "ريد منشن" واستخدام تقنيات مراقبة سلوك النواة هو الخط الدفاعي الأول لحماية البيانات الحساسة وضمان سلامة الأمن الرقمي للشبكات الوطنية.