Специалисты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), опубликовали рекомендации по безопасности для частного сектора и правительственных учреждений и рассказали о волне атак со стороны китайских хак-групп, связанных Министерством государственной безопасности КНР.

По данным экспертов CISA, на протяжении последнего года китайские хакеры регулярно сканировали правительственные сети США в поисках сетевых устройств, а затем использовали против них эксплоиты для свежих уязвимостей, стремились закрепиться в уязвимых сетях и продолжить боковое перемещение. При этом, согласно отчету, некоторых из этих атак были успешными, и злоумышленники добились поставленной цели.

В основном целям китайских хакеров становились балансировщики нагрузки Big-IP производства F5, устройства Citrix и Pulse Secure VPN, а также почтовые серверы Microsoft Exchange. Во всех этих продуктах за последний год были  выявлены серьезные уязвимости, в том числе: CVE-2020-5902,  CVE-2019-19781,  CVE-2019-11510 и  CVE-2020-0688.

Проникнув в сеть, китайские хакеры стремятся продвинуться дальше и похищают данные. Для этого применяют самые разные инструменты (в том числе опенсорсные и легитимные), наиболее распространенными из которых аналитики называют платформу Cobalt Strike, а также инструменты China Chopper Web Shell и Mimikatz.

Журналисты издания ZDNet отмечают, что перечисленными выше уязвимостями интересуются не только китайские злоумышленники. Так, эти проблемы эксплуатируют и иранские хакеры. Напомню, что недавно специалисты компаний Crowdstrike и Dragos заметили, что иранские «правительственные» хакеры и вовсе торгуют доступом к сетям скомпрометированных компаний, а также предоставляют доступ другим преступным группировкам.

Оставить мнение