GitHub и VPN — вот как ломают государственную защиту, пока все думают, что она надёжна

Франция выясняет, кто продаёт доступ к её сетям.


9p7ghamjlirqge6sl8r2w2gnqo2h99hb.jpg


Французское агентство ANSSI опубликовало подробный отчёт о масштабной кибератаке, которая затронула ключевые секторы Франции и оказалась связана с группировкой Houken. По версии ANSSI, действия злоумышленников совпадают с тактикой группировки UNC5174 , ранее упомянутой в расследованиях специалистов.

Атака началась в сентябре 2024 года и была нацелена на устройства Ivanti Cloud Service Appliance ( CSA ), широко используемые в государственных структурах, телекоммуникациях, финансовом секторе, транспорте и СМИ. Злоумышленники воспользовались сразу тремя уязвимостями ( CVE-2024-8190 , CVE-2024-8963 и CVE-2024-9380 ), которые на тот момент ещё не были официально раскрыты. Использование так называемых нулевых дней позволило атакующим удалённо выполнять произвольный код и устанавливать контроль над устройствами.

В ходе расследования специалисты пришли к выводу, что за всеми атаками стояла одна и та же группа. Она получила название Houken. По уровню сложности её действия можно назвать умеренно изощрёнными. Houken отличается двойственным подходом: с одной стороны, они применяют сложные инструменты, включая руткиты и ранее неизвестные уязвимости, с другой — активно используют готовые бесплатные программы, разработанные в основном китайскими авторами и размещённые на GitHub.

Инфраструктура хакеров включает анонимизирующие сервисы, коммерческие VPN, выделенные серверы и даже домашние и мобильные IP-адреса. Примечательно, что один и тот же IP-адрес VPN использовался для атак на разные организации, что позволило аналитикам связать отдельные инциденты между собой.

Злоумышленники устанавливали на устройствах жертв веб-оболочки, внедряли модифицированные PHP-скрипты и даже устанавливали руткиты для глубокого и скрытого контроля. В одном случае объектом атаки стал сервер Министерства иностранных дел южноамериканской страны, с которого было похищено большое количество переписки. Кроме того, в ряде атак злоумышленники устанавливали майнеры криптовалюты Monero, что указывает и на финансовую мотивацию.

Деятельность Houken тесно переплетается с действиями UNC5174 — предполагаемого брокера первоначального доступа, связанного с китайскими государственными структурами. UNC5174 ранее была замечена в атаках на устройства F5 BIG-IP, PaloAlto и ConnectWise ScreenConnect, а также в эксплуатации известных уязвимостей.

Также отмечается, что группа практикует тактику самозакрытия уязвимостей после получения доступа. Это позволяет исключить вмешательство конкурирующих групп и сохранить доступ к системе как можно дольше.

В ходе кампании во Франции было подтверждено как минимум три случая успешного проникновения в локальные сети после взлома устройств Ivanti CSA. Помимо сбора учётных данных, злоумышленники проводили разведку внутри сетей и устанавливали дополнительные механизмы для закрепления присутствия.

Проведённый анализ свидетельствует о высоком уровне технической подготовки, хотя в некоторых аспектах атаки проявлялись и признаки поспешности или использования базовых, общедоступных инструментов. По мнению специалистов, это может указывать на многоуровневую структуру группы, где разные участники отвечают за разведку, эксплуатацию уязвимостей и последующие действия.

Цели атак Houken варьируются от Юго-Восточной Азии до Европы и США. При этом в фокусе остаются правительственные структуры, образовательные учреждения, НПО, СМИ и телекоммуникации. Особенно ценные цели, такие как дипломатические ведомства или оборонные предприятия, вызывают повышенный интерес и требуют от злоумышленников более глубокого проникновения.

ANSSI предупреждает, что как Houken, так и UNC5174 продолжают активную деятельность. Их приоритетом остаются устройства, напрямую выходящие в интернет, включая менеджеры конечных точек и VPN-системы. По оценке специалистов, атаки подобного типа, сочетающие государственные интересы и личную финансовую мотивацию участников, будут только нарастать.