3 CVE + 1 руткит = китайцы за 4 месяца обчистили пол-Европы

Крупнейшие системы Европы стали частью чужого бизнеса, причём незаметно для владельцев.


rmmf7xayo2a6tavhlfcf20nzx1btr78s.jpg


Французское агентство по кибербезопасности объявило о масштабной атаке, затронувшей ключевые отрасли страны. Под прицелом оказались государственные структуры, телекоммуникационные компании, представители медиаиндустрии, финансовый сектор и транспортные организации. За вредоносной кампанией стоит китайская хакерская группа, которая использовала неизвестные ранее уязвимости в устройствах Ivanti Cloud Services Appliance (CSA).

Обнаруженные атаки начались в сентябре 2024 года. Ответственность за них возложена на группировку Houken, деятельность которой, по мнению специалистов, пересекается с активностью киберпреступного кластера UNC5174, также известного как Uteus или Uetus, за которым ранее наблюдали специалисты Google Mandiant.

Французское Национальное агентство безопасности информационных систем (ANSSI) сообщает , что злоумышленники применяли не только уязвимости нулевого дня и сложный руткит, но и широкий спектр инструментов с открытым исходным кодом, разработанных преимущественно китаеязычными программистами. Инфраструктура Houken включает коммерческие VPN и выделенные серверы, что позволило эффективно скрывать источник атак.

По мнению французских специалистов, Houken активно используется так называемыми брокерами первоначального доступа с 2023 года. Эти посредники взламывают системы, а затем передают доступы другим киберпреступникам, которые продолжают эксплуатацию скомпрометированных сетей. Такой подход предполагает участие сразу нескольких группировок, каждая из которых выполняет свою часть атаки — от выявления уязвимостей до их монетизации.

Компания HarfangLab подчёркивает , что сначала одна группа находит уязвимость , затем другая масштабно её использует для проникновения в сети, после чего полученные доступы продаются заинтересованным сторонам — чаще всего связанным с государственными структурами.

Эксперты полагают, что основная цель групп UNC5174 и Houken — получение доступа к перспективным объектам и последующая их продажа государственным заказчикам, заинтересованным в разведывательной информации. При этом преступники не ограничиваются кибер шпионажем — в одном из эпизодов зафиксировано использование доступа для установки майнеров криптовалюты, что свидетельствует о финансовых мотивах атакующих.

Ранее UNC5174 связывали с атаками на системы SAP NetWeaver, где злоумышленники применяли вредоносное ПО GOREVERSE, являющееся вариантом GoReShell. Также этой группировке приписывают атаки с использованием уязвимостей в продуктах Palo Alto Networks, Connectwise ScreenConnect и F5 BIG-IP, через которые распространялось вредоносное ПО SNOWLIGHT. Последнее служит для установки туннелирующего инструмента на базе языка Go под названием GOHEAVY.

Компания SentinelOne сообщала , что этой же группировкой была взломана крупная европейская медиакомпания в сентябре 2024 года. В атаке на французские организации преступники использовали три уязвимости в Ivanti CSA — CVE-2024-8963 , CVE-2024-9380 и CVE-2024-8190 . Эти уязвимости применялись как неизвестные ранее, что позволяло злоумышленникам незаметно проникать в системы, получать учётные данные и закрепляться в инфраструктуре.

Для закрепления в сетях злоумышленники применяли три способа. Они устанавливали PHP-вебшеллы напрямую, либо модифицировали уже существующие PHP-скрипты, добавляя в них скрытые функции вебшеллов. Кроме того, использовали руткит, внедряемый на уровне ядра системы.

Преступники активно применяли известные публичные вебшеллы, такие как Behinder и neo-reGeorg. После закрепления следовал этап бокового перемещения внутри сети с помощью GOREVERSE. Также применялся HTTP-прокси-туннель suo5 и модуль ядра Linux под названием «sysinitd.ko», ранее зафиксированный специалистами Fortinet.

По данным ANSSI, модуль «sysinitd.ko» и связанный с ним пользовательский исполняемый файл «sysinitd» устанавливались на целевых устройствах через сценарий install.sh. Эта связка позволяла перехватывать весь входящий TCP-трафик и выполнять команды с правами суперпользователя.

Кроме технических приёмов, специалисты обратили внимание на характерную черту злоумышленников — они действовали из временной зоны UTC+8, что соответствует времени Китая. Также преступники пытались устранять обнаруженные уязвимости после их эксплуатации, чтобы заблокировать доступ к системам другим хакерским группам.

По мнению ANSSI, масштаб атак указывает на широкий перечень целей. Среди них — государственные и образовательные учреждения Юго-Восточной Азии, неправительственные организации в Китае, включая Гонконг и Макао, а также государственные, оборонные, образовательные, медиа- и телекоммуникационные структуры в западных странах.

Сходство методов Houken и UNC5174 позволяет предположить, что за обеими группами стоит один и тот же преступный актёр, действующий как частная структура, торгующая доступами и конфиденциальной информацией, а также ведущая собственные прибыльные операции.