Поделиться
Древнее хакерское ПО пробудилось и напало на VPN-серверы по всему миру
Знаменитая APT-групировка DarkHotel, выявленная «Лабораторией Касперского» в 2014 г., скомпрометировала несколько сотен VPN-серверов, используемых зарубежными представительствами китайских организаций, и раздает с них бэкдоры.
Защита? Какая защита?
Печально известная APT-группировка DarkHotel начала атаковать государственные учреждения в КНР, используя уязвимость нулевого дня в VPN-сервисах.
По данным китайской ИБ-фирмы Qihoo 360, уязвимость кроется в серверах Sangfor SSL VPN, и с начала марта 2020 г. злоумышленники скомпрометировали более 200 таких серверов. 174 из них принадлежат китайским экстерриториальным учреждениям.
В связи с мировой пандемией коронавируса, резко возросло количество пользователей VPN-соединений. Проблема в Sangfor связана с механизмом автообновления. При каждом запуске клиента он запрашивает на сервере наличие обновлений. Эти обновления клиент получает из файла настроек, располагающегося в фиксированной области на VPN-сервере. На компьютер пользователя они поступают в виде исполняемого файла SangforUD.exe. Клиентская программа не проводит проверку безопасности или аутентичности файла, а только версию ПО. Если злоумышленникам удается взломать сервер и подменить файл обновления, все клиенты, подключающиеся к этому серверу, оказываются скомпрометированными: им устанавливается бэкдор.
У вас сервер устарел
В Qihoo не стали раскрывать подробности взлома серверов, отметив лишь, что атакованы те из них, на которых использовалось устаревшее ПО.
Куда больше внимания уделено бэкдору. После запуска он обращается к контрольному серверу для получения запускаемого шеллкода. На первом этапе этот шеллкод определяет IP- и MAC-адрес атакуемого терминала (конечного устройства), версию операционной системы и другие данные о ПО и аппаратном обеспечении; все это загружается на контрольный сервер.
На втором этапе бэкдор начинает устанавливать вредоносные DLL, которые захватывают службу печати и таким образом обеспечивают постоянство своего присутствия в системе. «Этот метод резидентности использует старую версию системного белого списка для осуществления перехвата, — говорится в публикации Qihoo 360. — Злоумышленники модифицируют системный реестр и устанавливают устаревшую версию компонента службы печати (TPWinPrn.dll), в котором присутствует уязвимость перехвата DLL, и используют это для загрузки основного компонента бэкдора (thinmon.dll). Этот компонент дешифрует еще один зашифрованный файл — sangfor_tmp_1.dat, поступающий с контрольного сервера (облака), и запускает .dat-файл одним из трех способов: посредством загрузки, запуска потока или с помощью инъекции процесса. Файл .dat уже непосредственно осуществляет вредоносные операции и обменивается данными с сервером».
По данным компании, китайские учреждения и представительства были атакованы в Италии, Великобритании, Пакистане, Кыргызстане, Индонезии, Таиланде, ОАЭ, Армении, Северной Корее, Израиле, Вьетнаме, Турции, Малайзии, Иране, Эфиопии, Таджикистане, Афганистане, Саудовской Аравии и Индии.
Это было недавно, это было давно
Первыми информацию о DarkHotel опубликовали эксперты «Лаборатории Касперского» в 2014 г. Тогда группировка, по-видимому южнокорейского происхождения, атаковала крупные гостиничные сети и постояльцев элитных отелей. При этом к моменту публикации данных группировка была активна уже около семи лет.
«Киберкриминал и кибершпионаж на фоне пандемии коронавируса не только не пошли на спад, но и наоборот, активизировались больше, чем когда-либо, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Это закономерно: пандемия служит эффективной “дымовой завесой” для кибершпионских инициатив. К тому же киберзащита всегда требует больше усилий и больших ресурсов, нежели кибератаки, а сейчас все внимание госорганов сосредоточено на борьбе с COVID-19».
Поделиться
Короткая ссылка
