Die auffälligste Neuerung betrifft den Aktivierungsmechanismus. Statt in beliebigen Netzwerkpaketen nach einem speziellen Auslöser zu suchen, fahndet BPFdoor seine Triggerphrase nun ausschließlich in unverdächtigen HTTPS-Anfragen. Firewalls und Werkzeuge zur Verkehrsanalyse können HTTPS praktisch nicht blockieren, und selbst nach der Entschlüsselung wirkt die Anfrage für menschliche Beobachter wie für Sicherheitssoftware völlig normal. “Sie machen unsere eigenen Firewalls gegen uns nutzbar, und wir lassen den Verkehr durch”, räumt Beek ein. Das Verstecken in TLS-Verkehr sei ein wirklich kluger Schachzug, weil der Datenstrom nach dem Auspacken problemlos passiere.

Die Malware ist dabei genau darauf abgestimmt, ihre Steuerbefehle zu erkennen: Sie prüft den Byte-Offset 26 der eingehenden Anfrage. Erscheint der Auslöser an genau dieser Stelle, weiß BPFdoor, dass es aktiviert wird.

Noch feiner arbeitet ein zusätzlicher Steuerkanal über das Internet Control Message Protocol (ICMP). Hat Red Menshen mehrere Server in einem Zielnetz kompromittiert, ließe sich jeder einzelne über eine herkömmliche Command-and-Control-Verbindung ansprechen — das wäre jedoch auffällig. Stattdessen nutzt die Backdoor unverdächtige ICMP-Pings, um Anweisungen zwischen infizierten Rechnern weiterzureichen. Ein bestimmter Wert — 0xFFFFFFFF — legt fest, welche Maschine die Weitergabe beendet und den Befehl tatsächlich ausführt. “Egal wie viele Zwischenstationen es in einem Netzwerk gibt, sie wissen genau, wo ihr nächstes Implantat sitzt”, erklärt Beek. Zur Veranschaulichung vergleicht er es mit einem Befehl, den BPFdoor im Wohnzimmer entgegennimmt, der aber für BPFdoor in der Küche bestimmt ist. Niemand verfolge, wie viel Ping-Verkehr einen Host oder das Netzwerk verlasse.

Kennzeichnend für Red Menshen ist laut Beek eine ungewöhnliche Sorgfalt und genaue Kenntnis der Zielinfrastruktur. Die Gruppe leiste hervorragende Aufklärungsarbeit in den Netzen ihrer Opfer und kenne die innere Funktionsweise von Telekommunikationstechnik so genau, dass sie sich nach dem Eindringen sehr schnell weiterbewegen könne. Rapid7 fand maßgeschneiderte Sniffer und eigens entwickelte Werkzeuge zum Abgreifen von Benutzernamen und Passwörtern.

Wie weit die Anpassung an die Ziele reicht, zeigt die Tarnung der Prozesse. Während es schon als fortgeschritten gilt, wenn Schadsoftware gewöhnliche Systemprozesse nachahmt, geht Red Menshen weiter: Die Gruppe weiß, dass Telekommunikationsanbieter — besonders in Europa und Asien — HPE-ProLiant-Server einsetzen und weltweit zunehmend Kubernetes für 5G nutzen. Entsprechend tarnt sich BPFdoor je nach Umgebung mit legitimen Dienstnamen und Prozessverhalten von HPE-ProLiant-Servern oder Kubernetes.

Angesichts dieser Kombination aus passivem Lauschen, verdecktem Nachrichtenaustausch und Prozessnachahmung liege BPFdoor jenseits dessen, was die meisten Sicherheitslösungen erkennen und stoppen könnten, so Beek. Sein Rat: Betreiber müssten gezielt selbst nach der Backdoor suchen. Erschwerend kommt hinzu, dass die schon einige Jahre alte Malware vielerorts kaum bekannt ist. In Gesprächen mit verschiedenen Telekommunikationsunternehmen habe er festgestellt, dass diesen die Bedrohung und ihre Tragweite weitgehend unbekannt seien.