31.08.2023 | UNC4841 — настоящие спецагенты или просто хакеры высокого класса? |
Компания Mandiant с уверенностью подтвердила , что китайские хакеры из группировки UNC4841 активно эксплуатировали zero-day уязвимость CVE-2023-2868 в продуктах Email Security Gateway ( ESG ) компании Barracuda . Атаки продолжались долгое время и были направлены преимущественно против правительственных организаций США, Канады и ряда других стран. Уязвимость CVE-2023-2868 позволяет удалённо выполнить код на устройстве жертвы. О существовании бреши стало известно лишь в мае этого года, когда как реальные атаки с использованием этой уязвимости датируются и вовсе прошлым годом . Компания Barracuda выпустила исправляющий патч 20 мая, однако впоследствии выяснилось, что он абсолютно неэффективен. В связи с этим компанию недавно даже раскритиковали представители ФБР. В конечном итоге Barracuda пришла к тому, что для надёжной защиты клиентских сетей уже не помогут никакие программные патчи, и клиентам необходимо физически заменить уязвимые устройства . Эксперты Mandiant провели углубленное расследование деятельности хакеров UNC4841 и выявили две волны атак. Первая началась ещё в ноябре 2022 года, а вторая — в мае-июне 2023 года, уже после выхода неэффективного патча. Во второй волне злоумышленники использовали новые вредоносные программы Skipjack, Depthcharge и Foxtrot для сохранения доступа к наиболее ценным целям. По словам экспертов, группировка UNC4841 действует в интересах китайских спецслужб и отличается высоким профессионализмом. Более 15% жертв — национальные правительственные организации, 10% — местные органы власти. Также атакам подверглись компании в сфере высоких технологий, телекоммуникаций, образования. В целом, это согласуется с разведывательными интересами Китая. Эксперты Mandiant не смогли связать UNC4841 ни с одной известной китайской хакерской группировкой, хотя и обнаружили некоторые пересечения в инфраструктуре с другой группой — UNC2286. Но это может просто указывать на взаимодействие между различными китайскими группировками. Таким образом, продолжительный киберинцидент продемонстрировал высокий уровень подготовки и настойчивости китайских хакеров. Несмотря на попытки противодействия, им удалось сохранить доступ к ценным системам и продолжить свою шпионскую деятельность. Эксперты Mandiant считают, что хакеры UNC4841 продолжат свою вредоносную операцию в будущем, но уже с использованием обновлённых инструментов и методов. Пострадавшие организации должны провести тщательные расследования безопасности своих сетей и хорошо подготовиться к следующей возможной волне атак. |
Проверить безопасность сайта