BPFDoor: Amikor a telekommunikációs hálózatod maga a fenyegetés

BPFDoor: Amikor a telekommunikációs hálózatod maga a fenyegetés

A legtöbb ember azt feltételezi, hogy mobilszolgáltatója egy semleges csővezeték, amely egyszerűen az A pontból a B pontba továbbítja az adatokat. Egy BPFDoor nevű eszközt érintő, újonnan részletezett kémkedési kampány azt sugallja, hogy ez a feltételezés veszélyesen elavult. A Red Menshen nevű, Kínához köthető fenyegetési szereplő legalább 2021 óta csendben rejtett hátsó ajtókat épít be telekommunikációs infrastruktúrákba több országban, így azokat a hálózatokat, amelyekre milliók támaszkodnak, a megfigyelés eszközeivé alakítva.

Ez nem elméleti kockázat. Ez egy aktív, dokumentált hírszerzési művelet, amely a globális kommunikáció gerincét veszi célba.

Mi az a BPFDoor, és miért olyan veszélyes?

A BPFDoor egy Linux-alapú hátsó ajtó, amelyet rendkívül nehéz észlelni. A Berkeley Packet Filtering technológiát alkalmazza – egy legitim, alacsony szintű hálózati funkciót, amely be van építve a Linux rendszerekbe –, hogy figyelje a bejövő forgalmat, és rejtett parancsokra reagáljon anélkül, hogy bármilyen látható hálózati portot nyitna meg. A gyanús nyitott portokat kereső hagyományos biztonsági eszközök semmi szokatlant nem találnak, mivel a BPFDoor nem úgy viselkedik, mint egy hagyományos kártevő.

Pontosan ez teszi olyan hatékonnyá a hosszú távú kémkedés szempontjából. A Red Menshen nem rohant be, nem lopott adatokat, és nem vonult vissza. A csoport ezeket az implantátumokat alvósejtekként ágyazta be, hónapokon és éveken át fenntartva tartós, csendes hozzáférést a szolgáltatói infrastruktúrához. A cél nem egy gyors és nyereségorientált művelet volt. Ez stratégiai türelemmel végzett, tartós hírszerzési tevékenység volt.

Kit érintett a kampány, és milyen adatok szivárogtak ki?

A kampány mértéke jelentős. Dél-Koreában önmagában körülbelül 27 millió IMSI-szám került veszélybe. Az IMSI, vagyis az International Mobile Subscriber Identity a SIM-kártyához kötött egyedi azonosító. Az IMSI-adatokhoz és a szolgáltatói infrastruktúrához való hozzáféréssel a támadók potenciálisan nyomon követhetik az előfizetők tartózkodási helyét, lehallgathatják a kommunikációs metaadatokat, és megfigyelhetik, ki kivel kommunikál.

Dél-Koreán túl a kampány érintette a hongkongi, a malajziai és az egyiptomi hálózatokat is. Mivel a telekommunikációs szolgáltatók kormányzati szervek, vállalati ügyfelek és hétköznapi állampolgárok forgalmát egyaránt kezelik, a potenciális kitettség nem korlátozódik egyetlen felhasználói kategóriára sem. Diplomáciai kommunikáció, üzleti hívások és személyes üzenetek mind ugyanazon az infrastruktúrán haladnak keresztül.

A kutatók szerint a fókusz a hosszú távú stratégiai előnyszerzésen és a hírszerzési adatok gyűjtésén volt, nem pedig az azonnali anyagi haszonszerzésen. Ez a megközelítés fontos. Azt jelenti, hogy a fenyegetés célja a csendes fennmaradás, nem a riasztók aktiválása.

Mit jelent ez az Ön számára?

Ha bármely nagyobb szolgáltató előfizetője, különösen az érintett régiókban, a kényelmetlenül hangzó igazság a következő: korlátozott rálátással rendelkezik arra, mi történik az adataival a szolgáltató saját hálózatán belül. Szolgáltatója irányítja az infrastruktúrát. Ha ezt az infrastruktúrát mélyen kompromittálták, az eszköze és egy weboldal közötti titkosítás nem biztos, hogy mindennel szemben védelmet nyújt. A metaadatok, a helyadatok és a kommunikációs minták még mindig kinyerhetők a hálózati rétegen, mielőtt a forgalom egyáltalán elérné a nyílt internetet.

Ez az a rész, amelyet a legtöbb kiberbiztonsági vita figyelmen kívül hagy. Az emberek az eszközeik és jelszavaik biztonságára koncentrálnak, ami abszolút fontos. De a hálózat, amelyen keresztül csatlakozik, ugyanolyan mértékben része a biztonsági helyzetének. Ha ezt a hálózatot egy olyan fél irányítja vagy figyeli, amelynek érdekei nem esnek egybe az Önével, független védelmi rétegre van szüksége.

Egy VPN ezt úgy oldja meg, hogy titkosítja a forgalmát, mielőtt az belép a szolgáltató hálózatába, és egy azon az infrastruktúrán kívüli szerveren keresztül irányítja azt. Még ha a szolgáltató rendszerei kompromittálódtak is, a hálózati szinten forgalmat megfigyelő támadó csak a VPN-szerver felé irányuló titkosított adatokat látja, nem pedig a kommunikációjának tényleges tartalmát vagy célállomását. Ez nem old meg minden problémát, de érdemben növeli a szolgáltatói szintű passzív megfigyelés költségét és nehézségét.

A szolgáltató nem megbízható infrastruktúraként való kezelése

A biztonsági szakemberek régóta a zéró bizalom elvén alapulnak: ne feltételezze, hogy egy hálózat bármely része eleve biztonságos, pusztán azért, mert legitimnek tűnik. A BPFDoor-kampány valóságos példa arra, hogy ez az elv miért fontos a hétköznapi felhasználók számára is, nem csak a vállalati IT-csapatok esetében.

Előfordulhat, hogy szolgáltatója jóhiszeműen működik, és mégis olyan kompromittált berendezésekkel rendelkezik, amelyekről nem tud. Ez a fejlett, tartós fenyegetések természete: úgy tervezik őket, hogy láthatatlanok maradjanak a hálózatért felelős személyek számára.

Egy VPN, például a hide.me rendszeres használatba vétele gyakorlati lépés afelé, hogy megfelelő szkepticizmussal kezelje a hálózati kapcsolatát. Olyan titkosított alagutat biztosít, amely független a szolgáltató infrastruktúrájától, és amelyet egy szigorú naplózásmentes szabályzat szerint működő szolgáltató irányít. Ha nem tudja ellenőrizni, mi történik a használt hálózaton belül, legalább biztosíthatja, hogy a forgalom már védelmet élvezve hagyja el az eszközét.

A titkosítás működéséről és arról, hogy miért fontos a hálózati szinten, jó kiindulópont lehet annak megvizsgálása, hogyan kezelik az adatait a VPN-protokollok. Annak megértése, hogy mit lát a szolgáltatója, és mit lát egy VPN-szolgáltató, segíthet megalapozottabb döntéseket hozni digitális adatvédelmével kapcsolatban a jövőben.