В конце 2024 года французское агентство по кибербезопасности ANSSI обнародовало тревожные данные о масштабной кибератаке, направленной на критически важные секторы страны – государственные структуры, телекоммуникационные компании, СМИ, финансовые и транспортные организации. Главной целью атаки стали устройства Ivanti Cloud Services Appliance (CSA), которые используются для управления и обеспечения безопасности корпоративных и государственных сетей. Уязвимости в этих устройствах позволили злоумышленникам получить несанкционированный доступ и последовательно закрепиться в инфраструктуре жертв, что вызвало серьезную обеспокоенность экспертов в области информационной безопасности по всему миру. Кампания началась в начале сентября 2024 года и была связана с китайской хакерской группой под кодовым именем Houken. По данным аналитиков, эта группа обладает прямыми связями с другим известным криминальным объединением UNC5174, известным также под прозвищами Uteus или Uetus, которое ранее подвергалось расследованию Google и Mandiant.
Houken отличается сложным техническим уровнем и широким ассортиментом инструментов, которые включают и собственные разработки, и широко доступные open-source решения, преимущественно созданные китайскими специалистами в области кибербезопасности. Специалисты ANSSI объявили, что хакеры использовали три новых нулевых уязвимости в Ivanti CSA, известных как CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190. Эксплуатация этих уязвимостей позволяла злоумышленникам не просто получить учетные данные, но и долговременно оставаться незаметными в сети, используя разнообразные техники обфускации и сокрытия действий. Среди применяемых методов были прямое развертывание PHP веб-шеллов, модификация существующих скриптов с внедрением шелл-функционала, а также установка руткита в виде ядрового модуля, что значительно усложняло обнаружение и удаление вредоносных компонентов. Выявленные в ходе расследования инструменты отражают высокий уровень профессионализма китайской группы.
Так, в арсенале Houken были замечены веб-шеллы Behinder и neo-reGeorg, которые обычно используются для поддержания контроля над скомпрометированными системами. После первичного доступа хакеры применяли вредоносную программу GOREVERSE — модификацию GoReShell, позволяющую обеспечить устойчивую персистентность и управление после проведения латеральных перемещений внутри сети. Дополнительно была обнаружена утилита suo5 для HTTP-прокси туннелирования и ядровой модуль под названием sysinitd.ko, изученный экспертизой Fortinet. Именно sysinitd.
ko давал киберпреступникам административные привилегии с возможностью выполнении произвольных команд на пораженных устройствах. Анализ времени атак позволил экспертам установить, что активность киберпреступников приходится на UTC+8, что совпадает с часовым поясом Китая. Интересно, что хакеры не только наносили урон инфраструктуре, но и пытались «запатчить» уязвимости после эксплуатации, вероятно с целью исключить вмешательство конкурирующих киберакторов. Такая тактика говорит о наличии заранее продуманной стратегии и о возможной конкуренции среди преступных группировок на киберпространстве. Среди пострадавших во французских атаках зафиксированы представители самых разнообразных отраслей.
Помимо государственных ведомств и телекоммуникационных гигантов, под прицел хакеров попадали медиа-компании, финансовые учреждения и транспортные предприятия. Важно отметить, что масштабы и география деятельности Houken распространяется далеко за пределы Франции и Европы. Имеются подтверждения атаки на образовательные и правительственные структуры в Юго-Восточной Азии, а также на неправительственные организации в Китае, включая Гонконг и Макао. Компания HarfangLab, специализирующаяся на анализе угроз, выделила Houken как группу, действующую в качестве первоначального поставщика доступа (initial access broker) с 2023 года. Их роль заключается в нахождении и использовании уязвимостей, чтобы завладеть начальными точками входа в сложные сети, после чего полученный доступ перепродается третьим сторонам.
Такой «многоуровневый» подход позволяет различным хакерским образованиям распределять задачи и максимально эффективно использовать взломанные ресурсы. Интересно, что в некоторых случаях UNC5174 и Houken применяли доступ для запуска криптовалютных майнеров, что указывает на наличие мотивации к быстрой монетизации атак хотя бы на первом этапе деятельности. При этом аналитики французского агентства ANSSI не исключают, что за этими группами могут стоять либо частные структуры, либо государственно связные организации, преследующие наряду с экономическими и разведывательные цели. Ранее UNC5174 связывали с активным использованием уязвимостей в известных корпоративных продуктах, таких как SAP NetWeaver и инструменты Palo Alto Networks, Connectwise ScreenConnect и F5 BIG-IP. Их вредоносное ПО SNOWLIGHT и разнообразные тулы для туннелирования, включая GOHEAVY, успешно реализовывались в различных атаках по всему миру.
Связь с Houken усиливает тенденцию к расширению масштабов и эволюции китайских киберугроз, что подтверждается также сообщениями о взломе крупной европейской медиа-компании в сентябре 2024 года. Французское расследование показывает, что современные кибератаки становятся все более комплексными и организованными. Использование zero-day уязвимостей в сочетании с продвинутыми методами сокрытия и разделением ролей между разными хакерскими группами подчеркивает необходимость международного сотрудничества в сфере кибербезопасности. Ангажированность китайских хакеров в подобных акциях также настораживает и требует повышенного внимания со стороны служб безопасности европейских организаций, особенно учитывая их стратегическое значение. В свете растущей угрозы от подобных кампаний специалисты рекомендуют государственным и частным структурам незамедлительно проверить наличие устройств Ivanti CSA в своих инфраструктурах, а также внедрять многоуровневую защиту и постоянный мониторинг сетевого трафика.
