Устаревшие устройства F5 BIG-IP помогали хакерам скрытно высасывать корпоративные данные.
Кибератака, продолжавшаяся около трёх лет, была зафиксирована в сетях одной из организаций в Восточной Азии. Предположительно, за ней стоит китайская кибершпионская группа, которая использовала устаревшие устройства F5 BIG-IP для создания внутреннего Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (постэксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику." data-html="true" data-original-title="C2" >C2-центра и обхода защитных механизмов.
В конце 2023 года компания Sygnia — это компания, специализирующаяся на обеспечении кибербезопасности для предприятий и организаций. Она была основана с целью помочь компаниям защитить свои сети, данные и информацию от киберугроз. <br /> <br /> Sygnia предлагает широкий спектр решений и услуг, включая мониторинг безопасности, угрозы и инциденты, анализ рисков, пентестинг, а также консультации и обучение в области кибербезопасности." data-html="true" data-original-title="Sygnia" >Sygnia, специализирующаяся на кибербезопасности, выявила и расследовала данное вторжение, опубликовав результаты своей работы 17 июня. Деятельность группировки специалисты отслеживают под названием Velvet Ant, отмечая высокую способность хакеров быстро адаптировать свои тактики в ответ на меры противодействия.
«Velvet Ant — это сложная и инновационная киберугроза», — отметили в техническом отчёте эксперты Sygnia. «Хакеры на протяжении длительного времени собирали конфиденциальную информацию, сосредотачиваясь на данных клиентов и финансовой информации».
Атака включала использование известного троянца PlugX — это троян удаленного доступа (RAT), который позволяет злоумышленникам удаленно управлять компьютером жертвы. PlugX позволяет красть конфиденциальную информацию и часто используется APT-группами для шпионажа и целевых атак. Троян известен своим скрытным поведением, что позволяет ему избегать обнаружения традиционными антивирусными решениями." data-html="true" data-original-title="PlugX" >PlugX, также известного как Korplug, который активно применяется шпионскими группами с китайскими связями. PlugX использует технику подгрузки DLL для проникновения в устройства.
Sygnia также выявила попытки хакеров отключить программное обеспечение для защиты конечных точек перед установкой PlugX. Для перемещения по сети использовались открытые инструменты, такие как Impacket.
Во время инцидента была обнаружена модифицированная версия PlugX, которая использовала внутренний файловый сервер для C2-операций, что позволило маскировать вредоносный трафик под законную сетевую активность.
«Злоумышленники развернули две версии PlugX в сети», — заявили в компании. «Первая версия, настроенная с внешним C2-сервером, была установлена на конечных точках с прямым доступом к Интернету для передачи конфиденциальной информации. Вторая версия не имела C2-настройки и использовалась исключительно на устаревших серверах».
Для связи с внешним C2-сервером второй вариант PlugX использовал обратный SSH — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений. Протокол похож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. <br><br> SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.<br><br> SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол. Таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео." data-html="true" data-original-title="SSH" >SSH-туннель, что вновь подчёркивает важность уязвимых пограничных устройств для сохранения присутствия злоумышленников на длительный период.
«Для массовой эксплуатации достаточно лишь одного уязвимого пограничного сервиса», — отметили в недавнем анализе компании WithSecure. «Эти устройства часто предназначены для повышения безопасности сети, однако их уязвимости регулярно используются злоумышленниками именно для получения доступа».
Подробный анализ взломанных устройств F5 также выявил наличие инструмента PMCD, который каждые 60 минут отправляет определённые запросы на C2-сервер для выполнения команд, а также программы для захвата сетевых пакетов и утилиты для туннелирования SOCKS под названием EarthWorm, использовавшиеся группами Gelsemium и Lucky Mouse.
Начальный вектор рассмотренной выше атаки Velvet Ant пока не установлен. Неизвестно, использовалась ли хакерами фишинговые методы или уязвимости в системах, доступных из Интернета.
Инцидент с Velvet Ant является ярким примером упорства и изобретательности современных кибершпионских группировок. Несмотря на меры безопасности и защитные механизмы, злоумышленники сумели проникнуть в корпоративную сеть и сохранять присутствие на протяжении длительного периода времени.
Данный случай подчёркивает необходимость постоянного мониторинга сетевой активности, своевременного обновления программного обеспечения и оборудования, а также важность многоуровневой защиты информационных систем от всевозможных векторов атаки. Даже одна незначительная брешь может поставить под угрозу всю корпоративную инфраструктуру.
