Die Cybersicherheitsfirma Rapid7 hat eine koordinierte Angriffskampagne aufgedeckt, die zeigt, wie strukturiert und ausdauernd staatlich geförderte chinesische Hacker vorgehen. Die Besonderheit dieser Operation: Sie konzentriert sich nicht auf einzelne Server oder Benutzerkonten, sondern auf die fundamentalen Plattformen, die moderne Telekommunikationsnetze antreiben.
Das Herzstück der Attacke ist BPFdoor, ein Linux-Backdoor, der 2021 erstmals öffentlich beschrieben wurde. Das Tool nutzt die Berkeley Packet Filter (BPF)-Funktionalität, um auf Kernelebene in den Netzwerkverkehr einzudringen. Besonders tückisch: Der Backdoor bleibt dormant und wartet auf spezifische, in Datenpaketen versteckte Magic-Byte-Sequenzen. Sobald die richtige Zeichenkette erkannt wird, öffnet er eine Shell für die Angreifer. Neue Varianten verstecken diese Trigger sogar in scheinbar legitimen HTTPS-Verkehr – eine Methode, die moderne Netzwerkabwehrsysteme umgeht.
Die Angreifer gehen systematisch vor: Sie nutzen gültige Konten und öffentlich erreichbare Anwendungen für den initialen Zugang. Anschließend deployen sie Linux-Beacon-Frameworks wie CrossC2, ein von Cobalt Strike abgeleitetes Tool, das häufig von chinesischen APT-Gruppen verwendet wird. Für die Persistenz kommen TinyShell, SSH-Brute-Force-Tools und spezialisierte Keylogger zum Einsatz – teilweise mit vorgefüllten Credential-Listen, die explizit für Telekommunikationsumgebungen zusammengestellt wurden.
Besonders besorgniserregend ist die Raffinesse der neuen BPFdoor-Varianten. Sie können als Bare-Metal-Infrastruktur getarnt werden und als legitime Enterprise-Plattformen erscheinen, um sich im Netzwerk-Rauschen zu verstecken. Andere Samples imitieren Container-Komponenten. Die finale Eskalationsstufe sind Varianten, die Trigger in HTTPS-Verkehr einbetten, wobei der Marker präzise am 26. Byte-Offset der Datenstruktur positioniert wird – ein technisches Meisterwerk der Stealth-Taktik.
Rapid7 warnt, dass diese Tools nicht einfach nur Backdoors sind, sondern eine umfassende Zugriffsschicht für Telekommunikations-Backbones darstellen. Die Hacker zielen auf Bare-Metal-Systeme mit Telekommunikations-Workloads, auf Kubernetes-Umgebungen mit containerisierten Netzwerkfunktionen und auf die Signalisierungsprotokolle ab, die Abonnenten-Identität, Mobilität und Kommunikationsflüsse koordinieren.
Diese Operation ist nicht isoliert. Sie reiht sich ein in eine Serie aggressiver chinesischer Cyberangriffe auf kritische Infrastruktur: Volt Typhoon wurde 2024 bei der “Vor-Positionierung” in US-Organisationen erwischt, Salt Typhoon hatte 2024 neun US-Telekommunikationsfirmen kompromittiert.
Für deutsche Behörden und Unternehmen im Telekommunikationssektor bedeutet das: Vorsicht ist geboten. Rapid7 hat einen Scanner veröffentlicht, um potenzielle BPFdoor-Infektionen zu identifizieren – ein wichtiges Werkzeug zur Überprüfung eigener Infrastruktur.