2 Minutės
Kinijos remiami kibernetiniai nusikaltėliai pažeidė Prancūzijos vyriausybę naudodamiesi Ivanti nulinės dienos saugumo spragomis
2024 m. pabaigoje Prancūzijos vyriausybė bei keli komerciniai sektoriai – telekomunikacijos, finansai ir transportas – tapo sudėtingos kibernetinės atakos aukomis. Už jos stovėjo Kinijos valstybės remiami programišiai, išnaudoję kelias dar neištaisytas pažeidžiamas vietas Ivanti Cloud Services Appliance (CSA) įrenginiuose. Šių pažeidžiamumų pagalba piktavaliai įsibrovė į jautrius tinklus ir pasiekė vertingus duomenis, sukeldami rimtus kibernetinio saugumo iššūkius ne tik Europai, bet ir visam pasauliui.
Nulinės dienos pažeidimų detalės
Prancūzijos Nacionalinė informacinių sistemų saugumo agentūra (ANSSI) patvirtino, kad atakos pasinaudojo trimis kritiniais Ivanti CSA pažeidžiamumais: CVE-2024-8963, CVE-2024-9380 ir CVE-2024-8190. Tuo metu šios saugumo spragos dar nebuvo pataisytos, todėl įsilaužėliai galėjo pavogti prisijungimo duomenis, įsitvirtinti paveiktose sistemose ir ilgą laiką išvengti aptikimo.
Kibernetinio saugumo ekspertai užfiksavo įvairius naudojamus metodus: pažangių PHP web shell‘ų įdiegimą, teisėtų PHP scenarijų modifikavimą, siekiant suteikti nuotolines prieigos galimybes, bei žalingų branduolio modulių, veikiančių kaip rootkitai, instaliavimą.
Houken grupė ir jos taktika
Koordinuotos atakos priskiriamos plačiai žinomai Houken grupei, kuri anksčiau buvo siejama su aukšto lygio SAP NetWeaver pažeidžiamumų išnaudojimu ir unikalaus GoReShell užnugario naudojimu. Grėsmių žvalgybos ekspertų teigimu, Houken veikla turi panašumų su UNC5174 grupe, kurią neseniai stebėjo „Google“ priklausanti „Mandiant“ komanda.
Houken strategija grindžiama tiek naujausių nulinės dienos pažeidžiamumų išnaudojimu, tiek daugybe atvirojo kodo įrankių, sukurtų kinų kalba kalbančių programuotojų. Jų infrastruktūra decentralizuota – naudojami komerciniai VPN servisai ir dedikuoti serveriai veiklos maskavimui ir atsparumui užtikrinti.
Pasaulinis mastas ir rizikos
Nors Houken grupė anksčiau taikėsi į vyriausybines ir švietimo įstaigas Pietryčių Azijos, Kinijos, Honkongo ir Makao regionuose, Vakaruose jų taikiniais tapo strateginiai sektoriai: valstybinės agentūros, gynybos institucijos, akademinės organizacijos, žiniasklaida ir telekomunikacijų operatoriai.
Atliekamas tyrimas rodo, kad šioje kibernetinėje operacijoje dalyvavo ne viena grupuotė. Tai buvo suderintas scenarijus: vieni specialistai įsilauždavo į tinklus, vėliau šį prieigos lygmenį parduodavo kitiems nusikaltėliams, ieškantiems svarbios informacijos ar konfidencialių duomenų. Tai atspindi augančią pradinės prieigos brokerių rinką kibernetinėje nusikaltėlių bendruomenėje.
Kibernetinio saugumo pasekmės ir rinkos atsakas
Ši plataus masto kibernetinė ataka pabrėžia itin svarbų realaus laiko pažeidžiamumų valdymą bei rizikas, kurias gali sukelti neužlopyti debesijos paslaugų sprendimai strateginėse infrastruktūros srityse. Organizacijoms, naudojančioms Ivanti įrenginius ar panašias debesų valdymo platformas, būtina diegti proaktyvią pataisų valdymo praktiką ir daugiasluoksnes saugumo priemones, kad sumažintų dabartines bei būsimų kibernetinių grėsmių rizikas.
Šis incidentas taip pat primena apie nuolat besikeičiančias kibernetinio nusikalstamumo rinkas ir būtinybę pasauliniu mastu bendradarbiauti mainantis grėsmių žvalgybos informacija bei įvykus incidentams.
Šaltinis: techradar
Komentarai