В течение более года китайская хакерская группа использовала сервер ArcGIS в качестве тайного канала доступа, превратив его в устойчивую точку проникновения. Обнаруженная специалистами ReliaQuest кампания связана с группировкой Flax Typhoon, также известной под названиями Ethereal Panda и RedJuliett. По данным американских властей, за действиями группы стоит зарегистрированная в Пекине публичная компания Integrity Technology Group.
В основе операции лежало несанкционированное изменение серверного объекта расширения Java (SOE), применяемого в геоинформационном приложении ArcGIS. Этот элемент был превращён в полноценную веб-оболочку с зашитым ключом для ограничения доступа. Чтобы обеспечить максимальную устойчивость, вредоносный код был внедрён в резервные копии, что позволяло сохранить доступ даже после восстановления всей системы.
Flax Typhoon традиционно придерживается стратегии малозаметного присутствия в инфраструктуре жертв. Группа активно использует LotL-методы и прямое взаимодействие через командную строку, адаптируя легитимные компоненты ПО под собственные цели. В данном случае злоумышленники сумели вписаться в общий трафик серверов, избежав обнаружения средствами мониторинга.
Атака начиналась с компрометации учётной записи администратора портала ArcGIS, после чего китайские хакеры внедрили вредоносное расширение JavaSimpleRESTSOE. Оно позволяло запускать команды на внутреннем сервере через REST-интерфейс, доступный извне. Наличие жёстко закодированного ключа защищало веб-оболочку от стороннего вмешательства и даже от случайного обнаружения администраторами.
Внедрённая оболочка использовалась для разведки в сети и создания устойчивого канала связи. Для этого на сервер была загружена переименованная исполняемая копия SoftEther VPN под видом bridge.exe, помещённая в системный каталог System32. Далее создавалась служба SysBridge, запускавшая этот файл при каждом старте системы.
Процесс bridge.exe устанавливал исходящие HTTPS-соединения с IP-адресом, находящимся под контролем группы, через порт 443. Это позволяло развернуть скрытый VPN-туннель и подключиться к целевой сети как к собственной, обходя фильтры и средства отслеживания на уровне маршрутизации.
Злоумышленники также сосредоточились на взломе рабочих станций IT-сотрудников, чтобы получить их учётные данные и углубиться в инфраструктуру. Анализ показал, что атакующие уже имели доступ к административной учётной записи и сумели сбросить её пароль.
По оценке специалистов ReliaQuest, данный инцидент подчёркивает серьёзную опасность использования доверенных системных компонентов в качестве средств обхода защиты. Главное в подобных случаях - не только отследить подозрительную активность, но и научиться распознавать, как легитимные функции могут быть превращены в инструмент атаки.
Почему геосервисы стали мишенью хакеров
Геосервисы представляют огромную ценность для злоумышленников не только как инструменты для атак, но и как источники конфиденциальной информации. Пространственные данные, которые они обрабатывают, представляют собой "живой слой разведки", а не просто статические карты. Они underpins логистику, городское планирование, реагирование на стихийные бедствия, мониторинг климата, точное земледелие и национальную безопасность. Эта информация, будучи скомпрометированной, может нанести беспрецедентный ущерб.
Уязвимости в программном обеспечении, таком как GeoServer, являются легкой мишенью для APT-групп. Китайские хакеры из группы "Earth Baxia" уже эксплуатировали уязвимость CVE-2024-36401 в GeoServer - ошибку удаленного выполнения кода (RCE), которая позволяла им развертывать вредоносное ПО EAGLEDOOR. Этот прецедент демонстрирует, что инфраструктура для работы с геоданными находится под пристальным вниманием злоумышленников.
Киберриски, связанные с геоданными, можно разделить на три ключевые категории:
· Конфиденциальность: Утечка данных о местоположении раскрывает шаблоны жизни как отдельных лиц (дом, работа, посещение чувствительных объектов), так и корпораций (перемещения руководства, координаты объектов, маршруты цепочек поставок). Это открывает дорогу для целенаправленного фишинга, промышленного шпионажа и даже физических угроз.
· Целостность: Манипулирование координатами, например, с помощью спуфинга GPS, может вводить в заблуждение суда, самолеты и беспилотные автомобили, вызывая каскадные сбои в смежных отраслях и критически важных службах.
· Доступность: Если услуги позиционирования становятся недоступными из-за глушения или DDoS-атак, операции, зависящие от местоположения, останавливаются: полеты отменяются, порты замирают, а службы экстренной помощи не могут функционировать.
Методы работы хакерских групп в деталях
Flax Typhoon и Earth Baxia демонстрируют высокий уровень изощренности, используя сложные цепочки заражения и методы уклонения от обнаружения.
· Таргетированный фишинг: Earth Baxia начинает атаки с фишинговых писем, содержащих вредоносные файлы, такие как MSC (Microsoft Common Script), часто маскирующиеся под безобидные документы с названиями вроде "RIPCOY".
· Использование легитимных инструментов: Группы активно применяют кастомизированные компоненты Cobalt Strike (легитимный инструмент для тестирования на проникновение, который часто используют хакеры), такие как SWORDLDR (загрузчик shellcode) и EAGLEDOOR (бэкдор).
· Сложные методы сохранения и скрытности:
· AppDomainManager Injection для внедрения вредоносного кода в легитимные приложения.
· DLL Side-Loading с использованием файлов с именами вроде Systemsetting.dll и Systemsetting.exe.
· API-хукинг с помощью компонента Hook.dll для перехвата и манипуляции системными вызовами.
· Многофункциональные бэкдоры: EAGLEDOOR поддерживает многопротокольную коммуникацию (DNS, HTTP, TCP) и, что особенно примечательно, использует Telegram Bot API для управления командованием и контролем (C2). Это позволяет злоумышленникам поддерживать устойчивую связь, маскируясь под обычный интернет-трафик.
Инцидент с Flax Typhoon и ArcGIS — это не просто очередная хакерская атака. Это наглядный урок того, как доверенные, нишевые технологические компоненты могут быть превращены в оружие в тени. В современном мире кибербезопасности угроза может прятаться там, где ее меньше всего ждут — даже в самых, казалось бы, безобидных и полезных сервисах, которые мы используем каждый день.