Кіберспеціалісти попередили про хакерів, що атакують урядові мережі у всьому світі

Стало відомо про роботу невідомого хакерського угрупування, яке атакує урядові мережі по всьому світу. Про це повідомили: Канадський центр кібербезпеки (CCCS), Відділ кібербезпеки Управління радіотехнічної оборони Австралії (ASD) та Національний центр кібербезпеки Великобританії (NCSC).

Кібератаки здійснюють через уразливості у міжмережевих екранах Cisco і через проблеми в мережевому устаткуванні, що постачається іншими компаніями, включаючи Microsoft. Корпорація Cisco надала кібератакам кодове ім'я ArcaneDoor (інші назви — UAT4356 і STORM-1849).

Шкідливу активність вперше було виявлено в січні цього року, коли про підозрілі дії у своїй IT-інфраструктурі повідомив один із клієнтів Cisco. Подальше розслідування показало, що кібератаки здійснювалися щонайменше з листопада 2023 року. Виявлено кілька жертв — усі вони пов’язані з урядовими організаціями різних країн.

Йдеться про те, що загадкове хакерське угруповання використовувало спеціальні інструменти, що «демонструють чітку спрямованість на шпигунство» і глибоке розуміння архітектури та принципів роботи цільових пристроїв. Це, на думку експертів, є відмінними рисами досвідчених кіберзлочинців, які спонсоруються на державному рівні.

Після компрометації пристроїв жертв зловмисники впроваджують два шкідливі імплантати — Line Dancer та Line Runner для завантаження та виконання довільного шелл-коду, а також обходу систем безпеки. Компанія Cisco вже випустила виправлення для цих вразливостей.