Гибридная сеть прокси делает защитников бесполезными, а атакующих – невидимыми.
Китайские хакеры стали чаще использовать обширную сеть прокси из VPS (Virtual Private Server) – это виртуальный частный сервер, который предоставляется клиенту в рамках облачного хостинга. VPS является частным сегментом физического сервера, разделенного на несколько виртуальных экземпляров.<br /> <br /> Каждый VPS имеет свою операционную систему и ресурсы, включая процессорное время, оперативную память и дисковое пространство. Он обладает высокой степенью изоляции и независимости от других виртуальных серверов на физическом хосте.<br /> <br /> VPS предоставляет клиенту большую гибкость и контроль по сравнению с обычным веб-хостингом. Клиент может устанавливать и настраивать свое программное обеспечение, иметь доступ к консоли управления сервером и управлять своими ресурсами.<br /> <br /> VPS обеспечивает более высокую производительность и надежность по сравнению с общим хостингом, так как ресурсы не разделяются между пользователями. Кроме того, VPS позволяет масштабировать ресурсы по мере необходимости, что позволяет адаптировать серверные возможности под требования проекта." data-html="true" data-original-title="VPS" >VPS-серверов и взломанных онлайн-устройств для проведения шпионажа.
Такие прокси-сети состоят из блоков оперативной ретрансляции (Operational Relay Box, ORB (Operational Relay Box) – взломанный компьютер, используемый хакерами для маскировки своих атак. Хакеры направляют атаки через ORB, чтобы скрыть свой IP-адрес и местоположение. <br> <br> ORB может представлять из себя компонент ботнет-сети или гибрид арендуемых VPS и скомпрометированных IoT-устройств (в т.ч. роутеры). ORB администрируются независимыми киберпреступниками, которые также предоставляют доступ к компьютерам правительственным хакерам. <br> <br> Так как ORB распределены по всему миру и срок службы их IP-адресов ограничен, это затрудняет отслеживание и блокировку вредоносного трафика. ORB может использоваться для разведки, эксплуатации уязвимостей или создания инфраструктуры управления" data-html="true" data-original-title="ORB" >ORB), администрируются независимыми киберпреступниками, которые предоставляют к ним доступ правительственным хакерам. ORBs напоминают ботнеты, но могут быть гибридом арендуемых VPS и скомпрометированных IoT-устройств.
Сеть ORB3/SPACEHOP
Mandiant — это компания, которая занимается информационной безопасностью и аналитикой инцидентов. Она специализируется на обнаружении и решении вопросов, связанных с киберпреступностью, таких как взломы, шпионаж, вредоносное ПО и кибертерроризм. Компания предлагает широкий спектр услуг, включая аналитику инцидентов, консультационные услуги, создание и тестирование систем защиты, а также обучение и поддержку.<br /> Компания также сотрудничает с правоохранительными органами по всему" data-html="true" data-original-title="Mandiant" >Mandiant отслеживает несколько сетей ORB, две из которых активно используются китайскими APT-группами. Одна из таких сетей, названная ORB3/SPACEHOP, активно используется группировками APT5 и APT15 для разведки и эксплуатации уязвимостей.
SPACEHOP была использована в декабре 2022 года для эксплуатации уязвимости CVE-2022-27518 в Citrix ADC и Gateway, которую АНБ связало с группой APT5. Специалисты Mandiant утверждают, что SPACEHOP использует релейный сервер, размещенный в Гонконге или Китае, и устанавливает открытую Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (постэксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику." data-html="true" data-original-title="C2" >C2-инфраструктуру для управления узлами.
Сеть ORB3/SPACEHOP
Сеть ORB2/FLORAHOX
Сеть ORB2/FLORAHOX представляет собой гибридную сеть, состоящую из C2-сервера, скомпрометированных подключенных устройств (маршрутизаторы и IoT) и VPS, которые пропускают трафик через TOR и несколько взломанных роутеров. Исследователи считают, что эта сеть используется в шпионских кампаниях разнообразными китайскими группами для маскировки исходного трафика.
Сеть состоит из нескольких подсетей, включающих устройства, скомпрометированные при помощи FLOWERWATER и других полезных нагрузок на базе маршрутизатора. Несмотря на использование ORB2/FLORAHOX различными группами угроз, Mandiant сообщает о кластерах активности, приписываемых китайским APT31/Zirconium, которые сосредоточены на краже интеллектуальной собственности.
Сеть ORB2/FLORAHOX
Сложности защиты предприятий
Использование ORB создает значительные трудности для предприятий, так как они обеспечивают скрытность, устойчивость и независимость от интернет-инфраструктуры страны. Такие сети активно используются различными группами в течение ограниченных периодов, что усложняет их отслеживание и атрибуцию.
По данным Mandiant, срок службы IP-адреса узла ORB может составлять всего 31 день, что является особенностью сети ORB, позволяющей злоумышленникам ежемесячно обновлять значительные части своей скомпрометированной или арендуемой инфраструктуры.
Анализ трафика из сетей ORB усложняется тем, что администраторы используют поставщиков номеров ASN в разных частях мира. Это делает сети более надежными и позволяет злоумышленникам атаковать предприятия с устройств, находящихся в географической близости, что вызывает меньше подозрений при анализе трафика.
С увеличением использования ORB хакерами, защита корпоративных сред становится все более сложной задачей. Обнаружение таких сетей усложняется, атрибуция становится более проблематичной, а индикаторы инфраструктуры противника менее полезны для защитников. В условиях растущей угрозы кибершпионажа, предприятиям необходимо разрабатывать новые стратегии защиты и адаптироваться к новым методам атаки.
