Национальное агентство Франции по безопасности информационных систем (Agence Nationale de la Sécurité des Systèmes d’Information, ANSSI) сообщило, что китайская хак-группа APT31 (она же Zirconium), взламывает домашние роутеры для создания прокси-сети вокруг своей серверной инфраструктуры. Это позволяет преступникам скрывать источники своих атак.
ANSSI заявляет, что такие атаки начались зимой 2021 года и продолжаются до сих пор. Агентство опубликовало список из 161 IP-адреса, которые были захвачены APT31 и использовались в ходе недавних атак на французские организации. Сообщается, что созданный APT31 ботнет использовался как для выполнения разведывательных операций, так и для проведения самих атак.
Эксперт Microsoft Threat Intelligence Center Бен Кель (Ben Koehl) объясняет, что APT31 использует свою прокси-сеть, чтобы создать впечатление, что атаки исходят из национального IP-пространства организации-жертвы. Дело в том, что некоторые организации могут блокировать входящий трафик с международных IP-адресов.
On the other side they are able to exit in the countries of their targets to _somewhat_ evade basic detection techniques.
— bk (Ben Koehl) (@bkMSFT) July 21, 2021
По словам специалиста компании Cyjax, выявленные ANSSI IP-адреса разбросаны по всему миру, и далеко не все находятся во Франции. Кроме того, на VirusTotal была обнаружена копия малвари APT31, которую устанавливают на взломанные роутеры.
CERT-FR reports that #APT31 is using compromised routers to target French organisations:https://t.co/kGFO9P0xRI
— Will | Bushido (@BushidoToken) July 21, 2021
I put together some graphs demonstrating the ~160 IP addresses that were disclosed: pic.twitter.com/A7XIPe72qf
