Дослідники безпеки попереджають, що хакери, пов’язані з Китаєм, все більше покладаються на велику мережу проксі-серверів, створену з віртуальних приватних серверів і скомпрометованих онлайн-пристроїв для операцій кібершпигунства. Про це повідомляє BleepingComputer.
Ці проксі-мережі, які називаються мережами операційних ретрансляторів (ORB), адмініструються незалежними кіберзлочинцями, які надають доступ багатьом спонсорованим державою виконавцям (APT).
ORB схожі на ботнети, але вони можуть бути гібридом комерційно орендованих послуг VPS і скомпрометованих пристроїв, включно з маршрутизаторами із вичерпаним терміном експлуатації та іншими продуктами IoT.
Зростання використання ORB зловмисниками супроводжується проблемами як у виявленні, так і в атрибуції. Оскільки інфраструктура атаки більше не контролюється суб’єктом загрози, який може циклічно переходити між вузлами, розподіленими по широкій географії.
Шкідливі проксі-мережі
Фірма з кібербезпеки Mandiant відстежувала кілька ORB, два з яких використовувалися передовими хакерами, відомими шпигунством та інтелектуальними крадіжками, пов’язаними з Китаєм.
Одна з них під назвою ORB3/SPACEHOP описується як дуже активна мережа, яка використовується кількома суб’єктами загрози Китаю, включно з APT5 та APT15, для розвідки й використання вразливостей.
Наприклад, SPACEHOP діяла у грудні 2022 року з використанням CVE-2022-27518 – критичної вразливості в Citrix ADC і Gateway, яку Агентство національної безпеки (NSA) пов’язало з APT5 (також відомою як Manganese, Mulberry Typhoon, Bronze Fleetwood, Keyhole Panda та UNC2630).
Дослідники Mandiant кажуть, що SPACEHOP – це підготовлена мережа, яка використовує сервер ретрансляції, розміщений у Гонконзі чи Китаї хмарним постачальником. Він встановлює відкриту структуру керування та керування (C2), яка дозволяє керувати нижчими вузлами.
Вузли ретрансляції зазвичай є клонованими образами на базі Linux. Їхня роль полягає у проксі-сервері зловмисного трафіку до вихідного вузла, який спілкується із цільовими середовищами жертви.
Навпаки, ORB2/FLORAHOX – це гібридна мережа, яка складається із сервера операцій, керованих противником (ACOS), скомпрометованих підключених пристроїв (маршрутизаторів та Інтернету речей) і служб VPS, які запускають трафік через TOR і кілька зламаних маршрутизаторів.
Дослідники вважають, що ця сітка використовується в кампаніях кібершпигунства різноманітними учасниками загроз, пов’язаних із Китаєм, щоб приховати трафік від джерела.
Схоже, що мережа містить кілька підмереж, які складаються зі зламаних пристроїв, залучених імплантатом маршрутизатора FLOWERWATER, а також інших корисних даних на основі маршрутизатора.
Попри те, що ORB2/FLORAHOX використовується кількома зловмисниками, довірені сторонні джерела повідомили Mandiant про кластери активності пов’язаних із Китаєм супротивників APT31/Zirconium, які зосереджені на крадіжці інтелектуальної власності.
«ORB2 представляє більш складну конструкцію, включаючи ретрансляцію трафіку через вузли TOR, підготовлені сервери VPS і різні типи скомпрометованих маршрутизаторів. Зокрема, пристрої CISCO, ASUS і Draytek, що вийшли із ладу», – повідомили у Mandiant.
За даними дослідників, окрім FLOWERWATER додаткові корисні навантаження та інструменти (MIPS-тунелер маршрутизатора PETALTOWER, сценарії bash SHIMMERPICK) використовуються для навігації мережею ORB2 і наявними вузлами на основі вхідних даних командного рядка.
Незалежно від типу використовуваних пристроїв мережа ORB має набір основних компонентів, які дають їй змогу працювати належним чином:
- Adversary Controlled Operations Server (ACOS) – сервер для адміністрування вузлів у мережі ORB.
- Вузол ретрансляції – дозволяє користувачам автентифікуватися в мережі та ретранслювати трафік через більший пул обходу на вузлах ORB.
- Вузли проходження – основні вузли, що складають мережу ORB, маскують походження трафіку.
- Вузли виходу/пропуску – використовуються для атак на цілі.
- Сервер жертви – інфраструктура жертви, яка спілкується з вузлом у мережі ORB.
Оскільки зловмисники все частіше використовують ORB, то захист корпоративного середовища стає ще складнішим.
Читайте також на ProIT про управління ризиками у хмарі: на що слід звернути увагу?
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
