- 19,455
- 40
- 8 Ноя 2022
Франция выясняет, кто продаёт доступ к её сетям.
Французское агентство ANSSI опубликовало подробный Для просмотра ссылки Войдиили Зарегистрируйся о масштабной кибератаке, которая затронула ключевые секторы Франции и оказалась связана с группировкой Houken. По версии ANSSI, действия злоумышленников совпадают с тактикой группировки Для просмотра ссылки Войди или Зарегистрируйся , ранее упомянутой в Для просмотра ссылки Войди или Зарегистрируйся специалистов.
Атака началась в сентябре 2024 года и была нацелена на устройства Ivanti Cloud Service Appliance ( Для просмотра ссылки Войдиили Зарегистрируйся ), широко используемые в государственных структурах, телекоммуникациях, финансовом секторе, транспорте и СМИ. Злоумышленники воспользовались сразу тремя уязвимостями ( Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ), которые на тот момент ещё не были официально раскрыты. Использование так называемых нулевых дней позволило атакующим удалённо выполнять произвольный код и устанавливать контроль над устройствами.
В ходе расследования специалисты пришли к выводу, что за всеми атаками стояла одна и та же группа. Она получила название Houken. По уровню сложности её действия можно назвать умеренно изощрёнными. Houken отличается двойственным подходом: с одной стороны, они применяют сложные инструменты, включая руткиты и ранее неизвестные уязвимости, с другой — активно используют готовые бесплатные программы, разработанные в основном китайскими авторами и размещённые на GitHub.
Инфраструктура Для просмотра ссылки Войдиили Зарегистрируйся включает анонимизирующие сервисы, коммерческие VPN, выделенные серверы и даже домашние и мобильные IP-адреса. Примечательно, что один и тот же IP-адрес VPN использовался для атак на разные организации, что позволило аналитикам связать отдельные инциденты между собой.
Злоумышленники устанавливали на устройствах жертв веб-оболочки, внедряли модифицированные PHP-скрипты и даже устанавливали руткиты для глубокого и скрытого контроля. В одном случае объектом атаки стал сервер Министерства иностранных дел южноамериканской страны, с которого было похищено большое количество переписки. Кроме того, в ряде атак злоумышленники устанавливали майнеры криптовалюты Monero, что указывает и на финансовую мотивацию.
Деятельность Houken тесно переплетается с действиями UNC5174 — предполагаемого брокера первоначального доступа, связанного с китайскими государственными структурами. UNC5174 ранее была замечена в атаках на устройства F5 BIG-IP, PaloAlto и ConnectWise ScreenConnect, а также в эксплуатации известных уязвимостей.
Также отмечается, что группа практикует тактику самозакрытия уязвимостей после получения доступа. Это позволяет исключить вмешательство конкурирующих групп и сохранить доступ к системе как можно дольше.
В ходе кампании во Франции было подтверждено как минимум три случая успешного проникновения в локальные сети после Для просмотра ссылки Войдиили Зарегистрируйся устройств Ivanti CSA. Помимо сбора учётных данных, злоумышленники проводили разведку внутри сетей и устанавливали дополнительные механизмы для закрепления присутствия.
Проведённый анализ свидетельствует о высоком уровне технической подготовки, хотя в некоторых аспектах атаки проявлялись и признаки поспешности или использования базовых, общедоступных инструментов. По мнению специалистов, это может указывать на многоуровневую структуру группы, где разные участники отвечают за разведку, эксплуатацию уязвимостей и последующие действия.
Цели атак Houken варьируются от Юго-Восточной Азии до Европы и США. При этом в фокусе остаются правительственные структуры, образовательные учреждения, НПО, СМИ и телекоммуникации. Особенно ценные цели, такие как дипломатические ведомства или оборонные предприятия, вызывают повышенный интерес и требуют от злоумышленников более глубокого проникновения.
ANSSI предупреждает, что как Houken, так и UNC5174 продолжают активную деятельность. Их приоритетом остаются устройства, напрямую выходящие в интернет, включая менеджеры конечных точек и VPN-системы. По оценке специалистов, атаки подобного типа, сочетающие государственные интересы и личную финансовую мотивацию участников, будут только нарастать.
Французское агентство ANSSI опубликовало подробный Для просмотра ссылки Войди
Атака началась в сентябре 2024 года и была нацелена на устройства Ivanti Cloud Service Appliance ( Для просмотра ссылки Войди
В ходе расследования специалисты пришли к выводу, что за всеми атаками стояла одна и та же группа. Она получила название Houken. По уровню сложности её действия можно назвать умеренно изощрёнными. Houken отличается двойственным подходом: с одной стороны, они применяют сложные инструменты, включая руткиты и ранее неизвестные уязвимости, с другой — активно используют готовые бесплатные программы, разработанные в основном китайскими авторами и размещённые на GitHub.
Инфраструктура Для просмотра ссылки Войди
Злоумышленники устанавливали на устройствах жертв веб-оболочки, внедряли модифицированные PHP-скрипты и даже устанавливали руткиты для глубокого и скрытого контроля. В одном случае объектом атаки стал сервер Министерства иностранных дел южноамериканской страны, с которого было похищено большое количество переписки. Кроме того, в ряде атак злоумышленники устанавливали майнеры криптовалюты Monero, что указывает и на финансовую мотивацию.
Деятельность Houken тесно переплетается с действиями UNC5174 — предполагаемого брокера первоначального доступа, связанного с китайскими государственными структурами. UNC5174 ранее была замечена в атаках на устройства F5 BIG-IP, PaloAlto и ConnectWise ScreenConnect, а также в эксплуатации известных уязвимостей.
Также отмечается, что группа практикует тактику самозакрытия уязвимостей после получения доступа. Это позволяет исключить вмешательство конкурирующих групп и сохранить доступ к системе как можно дольше.
В ходе кампании во Франции было подтверждено как минимум три случая успешного проникновения в локальные сети после Для просмотра ссылки Войди
Проведённый анализ свидетельствует о высоком уровне технической подготовки, хотя в некоторых аспектах атаки проявлялись и признаки поспешности или использования базовых, общедоступных инструментов. По мнению специалистов, это может указывать на многоуровневую структуру группы, где разные участники отвечают за разведку, эксплуатацию уязвимостей и последующие действия.
Цели атак Houken варьируются от Юго-Восточной Азии до Европы и США. При этом в фокусе остаются правительственные структуры, образовательные учреждения, НПО, СМИ и телекоммуникации. Особенно ценные цели, такие как дипломатические ведомства или оборонные предприятия, вызывают повышенный интерес и требуют от злоумышленников более глубокого проникновения.
ANSSI предупреждает, что как Houken, так и UNC5174 продолжают активную деятельность. Их приоритетом остаются устройства, напрямую выходящие в интернет, включая менеджеры конечных точек и VPN-системы. По оценке специалистов, атаки подобного типа, сочетающие государственные интересы и личную финансовую мотивацию участников, будут только нарастать.
- Источник новости
- www.securitylab.ru
