Во вторник французское агентство по кибербезопасности сообщило: группу хакеров из Китая удалось вывести на чистую воду после того, как они использовали сразу несколько уязвимостей нулевого дня в устройствах Ivanti Cloud Services Appliance (CSA). Атаке подверглись различные организации — от госструктур до игроков сфер телекоммуникаций, медиа, финансов и транспорта.
Масштабную атаку впервые зафиксировали в начале сентября 2024 года. За ней стоит группа под кодовым названием Houken, которую специалисты связывают с другим известным киберкластером, отмеченным Google Mandiant как UNC5174 (она же Uteus/Uetus).
Houken
«Хоть злоумышленники и применяют новейшие уязвимости и продвинутые rootkit-инструменты, в их снаряжении полно доступных каждому программ, написанных на китайском», — пояснили специалисты агентства. Для своих атак Houken использует коммерческие VPN-сервисы и выделенные серверы.
Считается, что с 2023 года Houken оказался в руках так называемых брокеров доступа: сначала они взламывают сети, а затем продают пробитые "дырки" другим преступным группам для дальнейших нападений. Такой «поточный» подход говорит о множестве участников за одной атакой.
«Один находит дыру в защите, второй массово ею пользуется, а затем уже третьи лица снимают свой "урожай"», — объясняют эксперты по кибербезопасности.
По мнению специалистов, группировки UNC5174 и Houken в первую очередь охотятся за лазейками для продажи доступа тем, кто заинтересован в секретной информации — чаще всего государственным структурам.
В последние месяцы группу UNC5174 связывают с атаками через дыры в SAP NetWeaver для установки вируса GOREVERSE (новый вариант GoReShell). Те же злоумышленники использовали уязвимости в решениях Palo Alto Networks, Connectwise ScreenConnect и F5 BIG-IP, чтобы загрузить другую вредоносную программу — SNOWLIGHT, а затем развёртывали еще один утилиту — туннелизатор GOHEAVY, написанный на Go.
В сентябре 2024 года SentinelOne также засекла атаку на одну из крупнейших медиа-компаний Европы, за которой стояли именно эти хакеры.
Эксперты ANSSI установили: злоумышленники задействовали сразу три уязвимости в Ivanti CSA — CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190. Так они получали учётные данные и закреплялись в системе одним из способов:
- Ставили PHP web shell прямо на сервер
- Правили существующие PHP-скрипты, добавляя в них web shell
- Загружали в систему модуль ядра, действующий как rootkit
В работе они использовали такие известные web shell, как Behinder и neo-reGeorg. Получив контроль, преступники задействовали GOREVERSE для сохранения доступа и дальнейшего продвижения по сети. Также были замечены утилита для проксирования трафика suo5 и модуль ядра Linux под названием «sysinitd.ko», впервые исследованный Fortinet осенью 2024 и в январе 2025 года.
«Суть атаки проста: модуль ядра (sysinitd.ko) и исполняемый файл (sysinitd) попадают в систему через shell-скрипт install.sh», — уточняют эксперты. «Захватывая входящий трафик на всех портах и выполняя команды через созданные shell-сессии, sysinitd.ko и sysinitd позволяют запускать любые действия с полными правами администратора».
Но и это ещё не предел. Хакеры не только шпионили, работая по китайскому времени (UTC+8), но даже пытались закрывать найденные дыры, чтобы ими не воспользовались другие злоумышленники.
Есть веские причины полагать, что жертвами стали не только французские организации: преступники атаковали госструктуры и университеты Юго-Восточной Азии, НКО в Китае (включая Гонконг и Макао), а также правительственные и оборонные организации, университеты, СМИ и телеком-компании на Западе.
Кроме того, методы работы Houken и UNC5174 настолько похожи, что эксперты подозревают общего организатора. В одном из эпизодов преступники даже устанавливали на серверах майнеры криптовалюты, что говорит о финансовой заинтересованности.
Эксперты считают: злоумышленники из Houken и UNC5174 — вероятнее всего, частная коммерческая группировка, которая одновременно продаёт доступы госструктурам и зарабатывает на собственных махинациях с данными.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru