Оффлайн
- Регистрация
- 23.09.18
- Сообщения
- 12.347
- Реакции
- 176
- Репутация
- 0
Китай развернул самую масштабную кибершпионскую кампанию последних лет
27.03.2020, Пт, 11:24, Мск , Текст: Роман Георгиев
Китайская кибершпионская группировка APT41 развернула масштабное наступление на промышленные организации и правительственные учреждения по всему миру. Её активность, впрочем, резко падала в период празднования лунного Нового года и во время февральского карантина в КНР.
Citrix, Cisco, Zoho - и все отрасли на свете
Китайская группировка APT41 развернула широкомасштабную кампанию против множества предприятий по всему миру, относящихся к самым разным отраслям. Вероятно, это самая масштабная кибершпионская кампания за последние годы.
Поставщик решений и услуг в области информационной безопасности, фирма FireEye, отметила, что между 20 января и 11 марта 2020 г. APT41 предприняла попытки эксплуатации уязвимостей в программных оболочках оборудования Citrix, Cisco и Zoho у всех 75 корпоративных клиентов фирмы.
APT41 атакует в первую очередь уязвимости в Citrix NetScaler/ADCc, в роутерах Cisco и в программном пакете Zoho ManageEngine Desktop Central.
Группировка APT41 известна с 2012 года. В её послужном списке - кибершпионаж, кибератаки и слежка как за целыми компаниями, так и за отдельными лицами. Как правило, атаки начинаются с целенаправленных фишинговых писем. Это позволяет кибершпионам проникнуть в корпоративную сеть, после чего они начинают загружать в неё различные вредоносы, позволяющие скомпрометировать всю целевую инфраструктуру. В арсенале группировки десятки вредоносных инструментов. Эксперты по безопасности сходятся во мнении, что APT41 связана со спецслужбами КНР.
Китайская кибершпионская группировка APT41 развернула масштабное наступление на компании и госучреждения по всему миру
На этот раз её жертвами стали бизнес-структуры, относящиеся к банковской и финансовой сферам, высоким технологиям, нефтегазовой промышленности, телекому, здравоохранению, медиа, производству; кибершпионы не обходят своим вниманием и государственные органы.
Атаки отмечены в США, Великобритании, Франции, Италии, Японии, Саудовской Аравии, Швейцарии и нескольких других.
Шпионаж узконаправленного действия
В FireEye отмечают, что не удаётся пока определить, занимались ли APT41 «ковровым» сканированием интернета на предмет уязвимых устройств и затем попытались устроить столь же «ковровую» серию атак, или же выбрали небольшой список наиболее уязвимых организаций. Так или иначе во всех случаях эти атаки имели узконаправленный характер, что многое говорит о возможностях группировки APT41.
Для проведения атак злоумышленники вначале использовали только критическую уязвимость CVE-2019-19781, затрагивающую такие устройства, как Citrix Application Delivery Controller (ADC), Citrix Gateway и Citrix SD-WAN WANOP. Этот «баг» позволяет запускать на уязвимых устройствах произвольный код и тем самым компрометировать всю сеть.
Атаки на уязвимости в роутерах Cisco RV320 и RV325 начались 21 февраля 2020 г., через месяц после начала кампании. Речь идёт об уязвимостях CVE-2019-1652 и CVE-2019-1653, комбинация которых обеспечивает злоумышленникам возможность запуска произвольного кода удалённо.
8 марта 2020 г. APT41 начали эксплуатировать уязвимость CVE-2020-10189 в программном пакете для управления сетями Zoho ManageEngine Desktop Central. Этот «баг» позволяет запускать произвольный код с правами SYSTEM и перехватывать полный контроль над уязвимыми системами.
«Самые старые из упоминаемых FireEye уязвимостей известны с начала прошлого года, остальные - намного «свежее», - отмечает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. - Это означает, что, скорее всего, операторов APT41 интересовало вполне конкретное аппаратное сетевое оборудование, поэтому они очень внимательно отслеживали все новости о нём. А значит, цели были выбраны заранее».
Что любопытно, активность APT41 резко падала в период между 23 января и 1 февраля, а также между 2 и 19 февраля 2020 г. Первый перерыв связан, скорее всего, с празднованием Нового года по лунному календарю, а второй с карантинными мероприятиями, вызванными начинавшейся в Китае эпидемии коронавируса.
You must be registered for see links
You must be registered for see links
You must be registered for see links
27.03.2020, Пт, 11:24, Мск , Текст: Роман Георгиев
Китайская кибершпионская группировка APT41 развернула масштабное наступление на промышленные организации и правительственные учреждения по всему миру. Её активность, впрочем, резко падала в период празднования лунного Нового года и во время февральского карантина в КНР.
Citrix, Cisco, Zoho - и все отрасли на свете
Китайская группировка APT41 развернула широкомасштабную кампанию против множества предприятий по всему миру, относящихся к самым разным отраслям. Вероятно, это самая масштабная кибершпионская кампания за последние годы.
Поставщик решений и услуг в области информационной безопасности, фирма FireEye, отметила, что между 20 января и 11 марта 2020 г. APT41 предприняла попытки эксплуатации уязвимостей в программных оболочках оборудования Citrix, Cisco и Zoho у всех 75 корпоративных клиентов фирмы.
APT41 атакует в первую очередь уязвимости в Citrix NetScaler/ADCc, в роутерах Cisco и в программном пакете Zoho ManageEngine Desktop Central.
Группировка APT41 известна с 2012 года. В её послужном списке - кибершпионаж, кибератаки и слежка как за целыми компаниями, так и за отдельными лицами. Как правило, атаки начинаются с целенаправленных фишинговых писем. Это позволяет кибершпионам проникнуть в корпоративную сеть, после чего они начинают загружать в неё различные вредоносы, позволяющие скомпрометировать всю целевую инфраструктуру. В арсенале группировки десятки вредоносных инструментов. Эксперты по безопасности сходятся во мнении, что APT41 связана со спецслужбами КНР.
Китайская кибершпионская группировка APT41 развернула масштабное наступление на компании и госучреждения по всему миру
На этот раз её жертвами стали бизнес-структуры, относящиеся к банковской и финансовой сферам, высоким технологиям, нефтегазовой промышленности, телекому, здравоохранению, медиа, производству; кибершпионы не обходят своим вниманием и государственные органы.
Атаки отмечены в США, Великобритании, Франции, Италии, Японии, Саудовской Аравии, Швейцарии и нескольких других.
Шпионаж узконаправленного действия
В FireEye отмечают, что не удаётся пока определить, занимались ли APT41 «ковровым» сканированием интернета на предмет уязвимых устройств и затем попытались устроить столь же «ковровую» серию атак, или же выбрали небольшой список наиболее уязвимых организаций. Так или иначе во всех случаях эти атаки имели узконаправленный характер, что многое говорит о возможностях группировки APT41.
Для проведения атак злоумышленники вначале использовали только критическую уязвимость CVE-2019-19781, затрагивающую такие устройства, как Citrix Application Delivery Controller (ADC), Citrix Gateway и Citrix SD-WAN WANOP. Этот «баг» позволяет запускать на уязвимых устройствах произвольный код и тем самым компрометировать всю сеть.
Атаки на уязвимости в роутерах Cisco RV320 и RV325 начались 21 февраля 2020 г., через месяц после начала кампании. Речь идёт об уязвимостях CVE-2019-1652 и CVE-2019-1653, комбинация которых обеспечивает злоумышленникам возможность запуска произвольного кода удалённо.
8 марта 2020 г. APT41 начали эксплуатировать уязвимость CVE-2020-10189 в программном пакете для управления сетями Zoho ManageEngine Desktop Central. Этот «баг» позволяет запускать произвольный код с правами SYSTEM и перехватывать полный контроль над уязвимыми системами.
«Самые старые из упоминаемых FireEye уязвимостей известны с начала прошлого года, остальные - намного «свежее», - отмечает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. - Это означает, что, скорее всего, операторов APT41 интересовало вполне конкретное аппаратное сетевое оборудование, поэтому они очень внимательно отслеживали все новости о нём. А значит, цели были выбраны заранее».
Что любопытно, активность APT41 резко падала в период между 23 января и 1 февраля, а также между 2 и 19 февраля 2020 г. Первый перерыв связан, скорее всего, с празднованием Нового года по лунному календарю, а второй с карантинными мероприятиями, вызванными начинавшейся в Китае эпидемии коронавируса.
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links