Китай развернул самую масштабную кибершпионскую кампанию последних лет

Поставщик решений и услуг в области информационной безопасности, фирма FireEye, отметила, что между 20 января и 11 марта 2020 г. APT41 предприняла попытки эксплуатации уязвимостей в программных оболочках оборудования Citrix, Cisco и Zoho у всех 75 корпоративных клиентов фирмы.

APT41 атакует в первую очередь уязвимости в Citrix NetScaler/ADCc, в роутерах Cisco и в программном пакете Zoho ManageEngine Desktop Central.

Группировка APT41 известна с 2012 года. В её послужном списке - кибершпионаж, кибератаки и слежка как за целыми компаниями, так и за отдельными лицами. Как правило, атаки начинаются с целенаправленных фишинговых писем. Это позволяет кибершпионам проникнуть в корпоративную сеть, после чего они начинают загружать в неё различные вредоносы, позволяющие скомпрометировать всю целевую инфраструктуру. В арсенале группировки десятки вредоносных инструментов. Эксперты по безопасности сходятся во мнении, что APT41 связана со спецслужбами КНР.

На этот раз её жертвами стали бизнес-структуры, относящиеся к банковской и финансовой сферам, высоким технологиям, нефтегазовой промышленности, телекому, здравоохранению, медиа, производству; кибершпионы не обходят своим вниманием и государственные органы.

Атаки отмечены в США, Великобритании, Франции, Италии, Японии, Саудовской Аравии, Швейцарии и нескольких других.

В FireEye отмечают, что не удаётся пока определить, занимались ли APT41 «ковровым» сканированием интернета на предмет уязвимых устройств и затем попытались устроить столь же «ковровую» серию атак, или же выбрали небольшой список наиболее уязвимых организаций. Так или иначе во всех случаях эти атаки имели узконаправленный характер, что многое говорит о возможностях группировки APT41.

Для проведения атак злоумышленники вначале использовали только критическую уязвимость CVE-2019-19781, затрагивающую такие устройства, как Citrix Application Delivery Controller (ADC), Citrix Gateway и Citrix SD-WAN WANOP. Этот «баг» позволяет запускать на уязвимых устройствах произвольный код и тем самым компрометировать всю сеть.

Атаки на уязвимости в роутерах Cisco RV320 и RV325 начались 21 февраля 2020 г., через месяц после начала кампании. Речь идёт об уязвимостях CVE-2019-1652 и CVE-2019-1653, комбинация которых обеспечивает злоумышленникам возможность запуска произвольного кода удалённо.

8 марта 2020 г. APT41 начали эксплуатировать уязвимость CVE-2020-10189 в программном пакете для управления сетями Zoho ManageEngine Desktop Central. Этот «баг» позволяет запускать произвольный код с правами SYSTEM и перехватывать полный контроль над уязвимыми системами.

«Самые старые из упоминаемых FireEye уязвимостей известны с начала прошлого года, остальные - намного «свежее», - отмечает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. - Это означает, что, скорее всего, операторов APT41 интересовало вполне конкретное аппаратное сетевое оборудование, поэтому они очень внимательно отслеживали все новости о нём. А значит, цели были выбраны заранее».

Что любопытно, активность APT41 резко падала в период между 23 января и 1 февраля, а также между 2 и 19 февраля 2020 г. Первый перерыв связан, скорее всего, с празднованием Нового года по лунному календарю, а второй с карантинными мероприятиями, вызванными начинавшейся в Китае эпидемии коронавируса. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!