Забытый сервер AIX открыл ворота китайским охотникам на секретные чертежи

Как взлом аэрокосмической компании поставил под угрозу несколько отраслей.


i3g8d6antr200kxnp652m7ey3q7hy7dw.jpg


В ходе интервью изданию The Register директор по исследованиям безопасности компании Binary Defense Джон Двайер раскрыл подробности кибератаки на крупного производителя компонентов для аэрокосмической отрасли и других критически важных секторов. Хакеры, предположительно связанные с правительством Китая, получили доступ к сети американской компании, воспользовавшись стандартными учетными данными администратора на сервере IBM AIX.

Инцидент начался в марте, когда злоумышленники взломали один из трех неуправляемых серверов AIX жертвы. На протяжении четырех месяцев они оставались незамеченными в IT-инфраструктуре производителя, исследуя сеть в поисках новых целей для атаки. Этот случай служит предостережением для организаций, имеющих в своих сетях давно забытые или неуправляемые устройства. Пока основная часть инфраструктуры защищена современными средствами обнаружения угроз, устаревшие сервисы становятся идеальной отправной точкой для злоумышленников.

Хотя Двайер не озвучил название компании, он сообщил, что она производит компоненты для государственных и частных аэрокосмических организаций, а также для нефтегазового сектора. Атака приписывается неназванной группировке из Китайской Народной Республики, чьей целью, по-видимому, был промышленный шпионаж и кража чертежей.

Стоит отметить, что в этом году федеральные власти США уже неоднократно выпускали предупреждения о китайских хакерских группах, включая APT40 и Volt Typhoon. Последнюю обвиняют в проникновении в американские сети с целью подготовки разрушительных кибератак.

После обнаружения китайских агентов в своей сети в августе, производитель уведомил местные и федеральные правоохранительные органы. Компания также сотрудничала с государственными специалистами по кибербезопасности для определения источника атаки и разработки мер по ее устранению. Для расследования была привлечена компания Binary Defense.

До того, как хакеров обнаружили и вытеснили из сети, группа успела загрузить веб-оболочку и установить постоянный доступ. В результате они получили полный удаленный контроль над IT-инфраструктурой и идеальные условия для кражи интеллектуальной собственности и манипуляций с цепочкой поставок.

Джон Двайер подчеркнул опасность такой ситуации: "Если скомпрометированный компонент попадет в цепочку поставок и будет использован в производстве оборудования или транспортных средств, последствия почувствует на себе конечный потребитель, когда этот компонент выйдет из строя или начнет работать некорректно". Он также добавил, что враждебные государства хорошо осведомлены об этой уязвимости, и атаки постоянно смещаются по цепочке влево. То есть попытки вмешательства в продукты происходят на все более ранних этапах производственного процесса, затрагивая все больше жертв и глубже укореняясь в системах.

По данным Binary Defense, три сервера среды разработки AIX жертвы были подключены к интернету без какой-либо защиты. По крайней мере на одном из них работал портал администратора Apache Axis со стандартными учетными данными. Сервер был несовместим с инструментами мониторинга безопасности организации, что частично объясняет, почему специалистам по сетевой защите потребовалось несколько месяцев, чтобы обнаружить вредоносную активность на компьютерах компании.

После компрометации сервера злоумышленники установили веб-оболочку AxisInvoker, позволяющую удаленно управлять устройством, собирать данные Kerberos и добавлять SSH-ключи для безопасного входа извне. Затем хакеры собрали максимум информации о конфигурации сети, а также данные, доступные через LDAP и общие ресурсы SMB.

Далее было развернуто дополнительное вредоносное ПО, включая Cobalt Strike и веб-оболочки, а также быстрый обратный прокси (FRP) для туннелирования в собственную инфраструктуру злоумышленников. Любопытно, что хакеры, похоже, были не знакомы с AIX, так как пытались запускать программы, стандартные для Linux.

Затем они переключили внимание на среду Microsoft Windows в сети инженерной фирмы. Были проведены атаки с ретрансляцией NTLM для перечисления доступных пользователей Windows и имперсонации учетной записи с правами администратора.

Злоумышленники попытались выгрузить память процесса LSASS на сервере Windows - распространенный способ сбора учетных данных из системы. Эта попытка была замечена и заблокирована, после чего хакеры были вытеснены из сети, по-видимому, до того, как они смогли получить доступ к чему-либо еще.

По словам Жвайера, сразу после удаления злоумышленников из среды последовала еще одна атака, которую приписали той же группе. Это произошло в течение 24 часов - кто-то попытался проникнуть в систему посредством перебора учетных данных. Binary Defense планирует опубликовать отчет об этом кибервторжении и извлеченных уроках в скором времени.