В октябре 2023 года эксперты по кибербезопасности обнаружили атаку на пользовательский интерфейс F5 BIG-IP Traffic Management, связанную с эксплуатацией уязвимости CVE-2023-46747. Злоумышленники смогли добиться неконтролируемого выполнения команд на уязвимых устройствах, что поставило под угрозу безопасность многих организаций. Позже, в феврале 2024 года, была выявлена еще одна масштабная атака, на этот раз с использованием уязвимости CVE-2024-1709 в программном обеспечении ConnectWise ScreenConnect. Обе атаки, как выяснилось, связаны с деятельностью хакерской группы UNC5174, предположительно работающей в интересах Министерства государственной безопасности Китая (MSS).
Описание
Группа UNC5174 действует как киберподрядчик, специализируясь на проникновении в сети американских оборонных подрядчиков, правительственных учреждений, исследовательских центров и неправительственных организаций. По данным аналитиков Mandiant, хакеры не только получают несанкционированный доступ, но и пытаются продавать его третьим лицам, что делает их деятельность особенно опасной. Помимо эксплуатации уязвимостей в F5 BIG-IP и ConnectWise ScreenConnect, UNC5174 использовала другие критические бреши, включая уязвимость в Atlassian Confluence, эксплойт для ядра Linux и уязвимость в брандмауэрах Zyxel.
Эксперты отмечают, что UNC5174 действует методично, выбирая цели, которые могут предоставить доступ к стратегически важной информации. В частности, атаки на оборонные подрядчики могут быть направлены на кражу данных о передовых технологиях и военных разработках США. Подобные операции не только подрывают национальную безопасность, но и создают угрозу для глобальной стабильности, поскольку утечка данных может быть использована для шпионажа или промышленного саботажа.
Mandiant рекомендует организациям, использующим уязвимое программное обеспечение, немедленно принять меры для устранения брешей. В первую очередь необходимо обновить системы, устранив известные уязвимости, а также провести тщательную проверку сетей на предмет компрометации. Особое внимание следует уделить журналам безопасности, поиску необычной активности и подозрительных подключений. Кроме того, компании должны усилить мониторинг сетевого трафика и внедрить многофакторную аутентификацию для критически важных сервисов.
Кибербезопасность становится все более важной в условиях растущей цифровизации и глобализации угроз. Атаки, подобные тем, что проводит UNC5174, демонстрируют, что даже крупные корпорации и государственные структуры остаются уязвимыми перед изощренными методами хакеров. Властям и частному сектору необходимо активнее сотрудничать в вопросах защиты данных, обмениваться информацией об угрозах и инвестировать в современные технологии киберзащиты. Только комплексный подход позволит минимизировать риски и предотвратить катастрофические последствия кибератак на критическую инфраструктуру.
Пока UNC5174 продолжает свою деятельность, международное сообщество должно усилить давление на страны, поддерживающие хакерские группы. В противном случае подобные атаки станут лишь более масштабными и изощренными, угрожая не только бизнесу, но и глобальной безопасности в целом.
Индикаторы компрометации
IPv4
- 118.140.151.242
- 172.245.68.110
- 61.239.68.73
URLs
- http://172.245.68.110:8888
MD5
- 0951109dd1be0d84a33d52c135ba9c97
- 0ba435460fb7622344eec28063274b8a
- 9c3bf506dd19c08c0ed3af9c1708a770
- a78bf3d16349eba86719539ee8ef562d
- c867881c56698f938b4e8edafe76a09b
- df4603548b10211f0aa77d0e9a172438