Стало відомо, як хакери з Китаю використовують VPN для шпигунства за всім світом

Спеціалісти компанії Cen­sys виявили, що хакери, які, ймовірно, працюють на китайський уряд, масово використовують критичні вразливості у віртуальних приватних мережах (VPN). Таким чином компанії отримують повний контроль над пристроями.

За даними Cen­sys, із 26 000 пристроїв, підключених до інтернету, 492 VPN Ivan­ti залишалися зараженими в різних країнах світу, включаючи:

• США (121 пристрій),
• Німеччину (26),
• Південну Корею (24)
• Китай (21).

Найбільше заражених пристроїв виявлено в хмарному сервісі Microsoft (13), за ним йдуть хмарні середовища Ama­zon (12) і Com­cast (10). Дослідники Cen­sys провели вторинне сканування серверів Ivan­ti Con­nect Secure і виявили 412 унікальних хостів з бекдором, а також 22 різних варіанти шкідливого ПЗ. Це може вказувати на безліч зловмисників або одного, що змінює свої тактики.

Йдеться про дві вразливості нульового дня у веб-компонентах Ivan­ti Con­nect Secure та Ivan­ti Pol­i­cy Secure всіх підтримуваних версій:

CVE-2023–46805: вразливість обходу автентифікації – дозволяє віддаленому зловмиснику отримати доступ до обмежених ресурсів, оминаючи контрольні перевірки;

CVE-2024–21887: вразливість впровадження команд – дозволяє аутентифікованому хакеру відправляти спеціально створені запити та виконувати довільні команди на пристрої.

За словами Cen­sys, докази компанії свідчать, що кіберзлочинці мотивовані цілями шпигунства. Ця теорія збігається з нещодавніми звітами компаній Volex­i­ty та Man­di­ant. Дослідники Volex­i­ty припускають, що загроза походить від «китайського державного зловмисника» UTA0178.

Нагадаємо — агентство з кібербезпеки та захисту інфраструктури (CISA) та Федеральне бюро розслідувань (ФБР) попередили, що китайські дрони можуть використовуватися для збору інформації про критичну інфраструктуру різних країн. Влада США побоюється, що Китай використовує інформацію з дронів для виявлення вразливостей у системах безпеки та для планування майбутніх кібератак.