Mandiant приписала атаки на Fortinet и VMware китайской группировке UNC3886

• 20 марта, 2023
• 14:30

Исследователи безопасности из Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.
Компания также сотрудничает с правоохранительными органами по всему

» data-html=»true» data-original-title=»Mandiant»>Mandiant приписали
эксплуатацию исправленной уязвимости нулевого дня в операционной системе Fortinet — это компания, которая занимается разработкой и производством оборудования и программного обеспечения для информационной безопасности. Она была основана в 2000 году в Калифорнии, а в настоящий момент имеет офисы в более чем 100 странах мира.
Продукты Fortinet включают в себя решения для сетевой безопасности, такие как фаерволы, VPN, антивирусное и антималварное программное обеспечение.

» data-html=»true» data-original-title=»Fortinet»>Fortinet FortiOS китайской хакерской группировке.

Компания Mandiant заявила, что активность является частью более широкой кампании, направленной на развертывание бэкдоров в решениях Fortinet и VMware и поддержание постоянного доступа к средам жертв.

Специалисты компании называют группу UNC3886 — предположительно китайская группировка, нацеленная на технологии брандмауэра и виртуализации, которые не поддерживают EDR. Участники группы умело манипулируют прошивкой брандмауэра и используют нулевой день для компрометации. UNC3886 приписываются атаки на серверы VMware ESXi и Linux vCenter.

» data-html=»true» data-original-title=»UNC3886″>UNC3886, связывая её с Китаем. По данным Mandiant, атаки UNC3886 нацелены на решения Fortinet FortiGate – это межсетевые экраны нового поколения (NGFW), обеспечивающие защиту сети от внешних угроз и предотвращения вторжений. Используются для контроля приложений, фильтрации трафика и веб-сайтов.

» data-html=»true» data-original-title=»FortiGate»>FortiGate, FortiManager и FortiAnalyzer для развертывания двух имплантатов THINCRUST и CASTLETAP. Компрометация получилась благодаря тому, что устройство FortiManager было подключено к Интернету.

Цепочка заражений UNC3886

THINCRUST — это Бэкдор — это  тип вредоносного ПО, которое сводит на нет обычные процедуры аутентификации для доступа к системе. В результате предоставляется удаленный доступ к ресурсам внутри приложения, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО.

» data-html=»true» data-original-title=»Бэкдор»>бэкдор, написанный на Python и способный выполнять произвольные команды, а также читать и записывать файлы на диске. Бэкдор устанавливает постоянство, которое затем используется для доставки сценариев FortiManager. Сценарии, в свою очередь, используют уязвимость обхода пути FortiOS для перезаписи легитимных файлов и изменения образов встроенного ПО.

В этот момент доставляется полезная нагрузка CASTLETAP, которая отправляет маяк на сервер злоумышленника, чтобы создать канал для запуска команд, извлечения полезной нагрузки и эксфильтрации данных из скомпрометированной системы.

После того как CASTLETAP был развернут на брандмауэрах FortiGate, хакеры подключились к компьютерам ESXi и vCenter, а затем развернули свои бэкдоры VIRTUALPITA и VIRTUALPIE , чтобы установить постоянство и обеспечить постоянный доступ к гипервизорам и гостевым машинам.

На устройствах FortiManager, которые ограничивают доступ в Интернет, киберпреступник сбросил бэкдор с функцией Реверс-инжиниринг (обратная разработка, обратный инжиниринг) – процесс анализа машинного кода программы группой разработчиков, в результате, которого составляется алгоритм этой программы на псевдокоде. Если же программа является драйвером, то в результате анализа кода составляется исчерпывающие спецификации, интересующего разработчиков устройства. На основе добытых алгоритмов и спецификаций другая группа разработчиков пишет собственный драйвер. Результат обратной разработки позволяет избежать обвинений в нарушении авторских прав на исходную программу.

Реверс-инжиниринг также проводится на уровне программного обеспечения, с целью осуществления модификации кода, написания генератора ключей, а также получения сведений о протоколе сетевого обмена с сервером, аппаратным средством, ключом защиты. Обратная разработка ПО производится с помощью анализа обмена данными, дизассемблирования и декомпиляции.