SCAMMER.PRO

SCAMMER.PRO

Китайские хакеры атаковали европейские государственные учреждения

  • 12:30

Согласно недавнему отчёту , опубликованному компанией Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.
Компания также сотрудничает с правоохранительными органами по всему

» data-html=»true» data-original-title=»Mandiant»>Mandiant, предположительно китайские киберпреступники использовали уязвимость нулевого дня в FortiOS, операционной системе, разработанной американской компанией по кибербезопасности Fortinet — это компания, которая занимается разработкой и производством оборудования и программного обеспечения для информационной безопасности. Она была основана в 2000 году в Калифорнии, а в настоящий момент имеет офисы в более чем 100 странах мира.
Продукты Fortinet включают в себя решения для сетевой безопасности, такие как фаерволы, VPN, антивирусное и антималварное программное обеспечение.

» data-html=»true» data-original-title=»Fortinet»>Fortinet, для совершения целенаправленной атаки.

Уязвимость под идентификатором CVE-2022-42475 была эксплуатирована ещё в октябре 2022 года. К моменту выхода отчёта «брешь» уже устранили. В январе Fortinet предупредила своих клиентов, что хакеры используют эту уязвимость для нападения на правительственные сети.

Mandiant обнаружила новую вредоносную программу, которую исследователи назвали Boldmove. Она была специально разработана для работы на межсетевых экранах FortiGate от Fortinet.

Исследователи полагают, что атака была проведена в рамках китайской операции по кибершпионажу, нацеленной на сетевые устройства. «Мы ожидаем, что эта тактика и далее будет предпочтительным вектором вторжения для хорошо обеспеченных ресурсами китайских групп», — сказали представители Mandiant.

Вредоносное ПО Boldmove

Бэкдор Boldmove был обнаружен в декабре 2022 года. Он написан на языке программирования C и имеет варианты как для Windows, так и для Linux. Последний, к слову, предназначен для работы на сетевых устройствах Fortinet, поскольку он считывает данные из файлов, принадлежащих компании. При успешном выполнении вредоносное ПО позволяет злоумышленникам получить полный удаленный контроль над уязвимым устройством FortiOS.

Версия Boldmove для Windows была скомпилирована еще в 2021 году, однако специалисты Mandiant до этого момента не видели, чтобы этот вредонос использовался «в дикой природе» (Эксплуатация уязвимости в дикой природе (in the wild, ITW) подразумевает её активное использовании злоумышленниками.
Когда кто-то демонстрирует, как можно воспользоваться уязвимостью, это называется эксплойтом.
Когда эксплойт широко публикуется в таких источниках, как сообщения в блогах, на форумах, в базе данных эксплойтов или в средах эксплуатации по типу metasploit, его обычно называют эксплойтом в дикой природе.

» data-html=»true» data-original-title=»ITW»>ITW).

Исследователи Mandiant подозревают, что за атаками стоят китайские хакеры из-за используемой ими тактики и таргетинга. Кроме того, вредоносное ПО, по данным исследователей, было скомпилировано на компьютере, настроенном для отображения китайских иероглифов и расположенном в часовом поясе UTC+8, который включает Австралию, Китай, Россию, Сингапур и другие страны Восточной Азии.

Сетевые устройства Fortinet

Согласно Mandiant, устройства для выхода в Интернет (от англ. «Internet-facing devices» на русский язык можно перевести как «устройства, находящиеся на переднем фронте Интернета».
Это устройства, которые подключены к Интернету и доступны для внешнего мира. Они могут быть использованы для различных целей, например, для доступа к веб-сайтам, почтовым серверам, сетевым устройствам и т.д.

Примеры интернет-фейсинг устройств:

  • Веб-серверы, которые обслуживают веб-сайты.
  • Роутеры, которые обеспечивают доступ к Интернету для домашней сети.
  • Файерволы, которые защищают сеть от внешних угроз.
  • Камеры наблюдения, которые подключены к Интернету и могут быть просматриваемы из любой точки мира.

Интернет-фейсинг устройства часто являются приоритетной целью для киберпреступников, так как они могут быть использованы для получения доступа к внутренней сети и системам компании. Это может включать в себя кражу конфиденциальной информации, вредоносное ПО, а также навредить работе компании.

» data-html=»true» data-original-title=»Internet-facing devices»>«internet-facing devices»), такие как брандмауэры, устройства IPS и IDS, являются привлекательными целями для атак кибербандитов.

Во-первых, у них есть доступ к Интернету. Значит, при наличии нужного эксплойта, доступ в сеть может быть обеспечен без какого-либо взаимодействия с жертвой. «Это позволяет злоумышленнику чётко контролировать время операции и снизить шансы на обнаружение», — сказали в Mandiant.

Во-вторых, вышеупомянутые сетевые устройства хоть и предназначены для проверки сетевого трафика, поиска аномалий, а также признаков злонамеренного поведения, но зачастую сами уязвимы для атак хакеров.

Эксплойты, необходимые для компрометации этих устройств, сложно разрабатывать, поэтому они часто используются против высокоприоритетных целей — в государственном и оборонном секторах.

По словам Mandiant, пока не существует механизмов для обнаружения вредоносных процессов, запущенных на подобных сетевых устройствах. «Это делает сетевые устройства слепой зоной для специалистов по безопасности и позволяет злоумышленникам прятаться в них, сохраняя скрытность в течение длительного времени. А также использовать их, чтобы закрепиться в целевой сети», — говорится в исследовании.

Источник

Секретная информация в Телеграм
SCAMMER.PRO
Telegram-plane Youtube