Эксперты Qihoo 360 рассказали о масштабной хакерской операции, нацеленной на китайские правительственные учреждения и их сотрудников. Атаки начались еще в прошлом месяце и, как считают исследователи, они связаны с пандемией коронавируса.
По данным специалистов, хакеры эксплуатируют уязвимость нулевого дня в серверах Sangfor SSL VPN , которые используются для предоставления удаленного доступа к корпоративным и государственным сетям. Уязвимы только серверы Sangfor VPN с прошивками версий M6.3R1 и M6.1.
В общей сложности Qihoo 360 удалось обнаружить более 200 взломанных VPN-серверов, 174 из которых были расположены в сетях правительственных учреждений в Пекине и Шанхае, а также в сетях китайских диппредставительств, действующих за рубежом, в таких странах, как Италия, Великобритания, Пакистан, Киргизия, Индонезия, Таиланд, ОАЭ, Армения, Северная Корея, Израиль, Вьетнам, Турция, Малайзия, Иран, Эфиопия, Таджикистан, Афганистан, Саудовская Аравия, Индия.
Исследователи называют эту кампанию сложной и весьма умной. Злоумышленники использовали 0-day уязвимость для захвата контроля над серверами Sangfor VPN, где затем подменяли файл SangforUD.exe на вредоносную версию. Этот файл представляет собой обновление для десктопного приложения Sangfor VPN, которое сотрудники устанавливают на свои компьютеры для подключения к серверам Sangfor VPN и, по сути, к своим рабочим сетям.
Когда пользователи подключались к взломанным серверам Sangfor VPN, им предлагали установить автоматическое обновление для клиента, но вместо него они получали вредоносный файл SangforUD.exe, который позже устанавливал на их устройства бэкдор.
По мнению аналитиков, за этой компанией стоит корейская хак-группа DarkHotel, существующая как минимум с 2007 года. Напомню, что ИБ-специалисты, частности, связывают эту группу с малварью Dark Seoul, которая, в свою очередь, ассоциируется с нашумевшей Operation Blockbuster: крупномасштабной атакой на компанию Sony, ответственность за которую возлагают на Северную Корею.
Эксплуатация уязвимости нулевого дня в Sangfor VPN, это уже третий 0-day использованный DarkHotel в 2020 году. Ранее в этом году группировка эксплуатировала проблемы нулевого дня в браузерах Firefox и Internet Explorer, атакуя правительственные организации в Китае и Японии.
Исследователи Qihoo 360 пишут, что новые атаки на правительственные учреждения Китая могут быть связаны с пандемией коронавируса. Так, вероятно, DarkHotel пытаются выяснить, как китайское правительство справилось со эпидемией. Дело в том, что две недели назад агентство Reuters сообщало, что DarkHotel так же атакует и Всемирную организацию здравоохранения.
Разработчики Sangfor VPN обещают выпустить обновления прошивок и патчи для 0-day уязвимости уже в ближайшие дни. Также в компании планируют опубликовать специальный скрипт для обнаружения взломов VPN-серверов и второй инструмент для удаления последствий атак DarkHotel.