Национальное агентство Франции по безопасности информационных систем (Agence Nationale de la Sécurité des Systèmes d’Information, ANSSI) сообщило, что китайская хак-группа  APT31 (она же Zirconium), взламывает домашние роутеры для создания прокси-сети вокруг своей серверной инфраструктуры. Это позволяет преступникам скрывать источники своих атак.

ANSSI заявляет, что такие атаки начались зимой 2021 года и продолжаются до сих пор. Агентство опубликовало список из 161 IP-адреса, которые были захвачены APT31 и использовались в ходе недавних атак на французские организации. Сообщается, что созданный APT31 ботнет использовался как для выполнения разведывательных операций, так и для проведения самих атак.

Эксперт Microsoft Threat Intelligence Center Бен Кель (Ben Koehl) объясняет, что APT31 использует свою прокси-сеть, чтобы создать впечатление, что атаки исходят из национального IP-пространства организации-жертвы. Дело в том, что некоторые организации могут блокировать входящий трафик с международных IP-адресов.

По словам специалиста компании Cyjax, выявленные ANSSI IP-адреса разбросаны по всему миру, и далеко не все находятся во Франции. Кроме того, на VirusTotal была обнаружена копия малвари APT31, которую устанавливают на взломанные роутеры.

 

Оставить мнение