Китайские государственные группы Advanced Persistent Threat (APT, усовершенствованная постоянная угроза) активизировали кампании кибершпионажа, систематически атакуя глобальные телекоммуникационные, правительственные и военные сети с использованием сложных методов эксплуатации уязвимостей маршрутизаторов, начиная с 2021 года.
Согласно данным исследования Cyble Research Labs, с 2021 года китайские киберакторы, поддерживаемые государством, проводят масштабные скрытные операции по проникновению и установлению контроля над сетевым оборудованием в критически важных секторах по всему миру. Эти группы, действующие под различными псевдонимами, включая Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 и GhostEmperor, успешно скомпрометировали ключевую сетевую инфраструктуру в нескольких странах, включая США, Австралию, Канаду, Новую Зеландию и Великобританию.
Сфера деятельности этих операций выходит за рамки традиционных правительственных целей, охватывая телекоммуникационных провайдеров, интернет-провайдеров (ISP), транспортные сети, объекты размещения и военные учреждения. Такая широкая стратегия позволяет злоумышленникам собирать данные, которые способствуют глобальному наблюдению и сбору разведданных.
Китайские APT-группы продемонстрировали впечатляющую способность использовать публично известные уязвимости для получения первоначального доступа к целевым сетям. Согласно отчету Cyble, хотя в этих кампаниях не подтверждено использование уязвимостей нулевого дня, акторы быстро адаптируются для использования слабостей в маршрутизаторах, межсетевых экранах и коммутаторах крупных мировых производителей.
Среди критических уязвимостей, которые активно эксплуатируются, значатся CVE-2024-21887 в Ivanti Connect Secure, позволяющая удаленное выполнение кода через инъекцию команд в веб-компонентах; CVE-2024-3400 в Palo Alto Networks PAN-OS GlobalProtect, приводящая к полному compromise системы; и несколько уязвимостей в Cisco IOS XE, включая CVE-2023-20273 (обход аутентификации веб-управления) и CVE-2023-20198 (инъекция команд). Также активно используется уязвимость CVE-2018-0171 в Cisco IOS/IOS XE, позволяющая полный захват устройства через удаленное выполнение кода в Smart Install.
Эти уязвимости позволяют злоумышленникам удаленно выполнять код, повышать привилегии и захватывать интерфейсы управления. Часто акторы объединяют несколько методов эксплуатации для достижения полного контроля над целевыми сетевыми устройствами.
После получения первоначального доступа китайские государственные акторы применяют сложные методы для сохранения долгосрочного присутствия в скомпрометированных сетях. Они изменяют конфигурации маршрутизаторов для обеспечения устойчивого доступа, корректируя списки контроля доступа (ACL) для разрешения трафика с управляемых злоумышленниками IP-адресов и открывая службы на стандартных и нестандартных портах, включая SSH, SFTP, RDP, FTP, HTTP и HTTPS.
Злоумышленники используют расширенные возможности маршрутизаторов, такие как встроенные скрипты Cisco с использованием Tcl, перечисление SNMP и встроенные контейнеры Linux через среды Guest Shell, для выполнения собственных команд, оставаясь незамеченными. Они устанавливают зашифрованные туннели с использованием протоколов GRE, multipoint GRE (mGRE) или IPsec, эффективно смешивая командно-контрольный трафик с легитимными сетевыми операциями.
Особую озабоченность вызывает эксплуатация возможностей Native Packet Capture (PCAP) в маршрутизаторах Cisco для перехвата аутентификационного трафика. Злоумышленники нацеливаются на протоколы TACACS+ и RADIUS, которые часто передают учетные данные со слабым шифрованием или в открытом тексте. Используя функцию Embedded Packet Capture в Cisco, threat actors создают PCAP-файлы с безобидными именами, такими как "mycap.pcap" или "tac.pcap", для систематического сбора учетных данных и перенаправления аутентификационного трафика на контролируемую злоумышленниками инфраструктуру.
Сетевые защитники по всему миру призываются к активному поиску признаков компрометации, соответствующих наблюдаемому поведению китайских государственных акторов, поддержанию обновленных средств безопасности и обеспечению соответствия местным нормам кибербезопасности. Устойчивый и сложный характер этих угроз требует постоянной бдительности и скоординированных международных ответных мер для защиты критической инфраструктуры от продолжающихся попыток эксплуатации.
