Стало відомо, як хакери з Китаю використовують VPN для шпигунства за всім світом

Спеціалісти компанії Censys виявили, що хакери, які, ймовірно, працюють на китайський уряд, масово використовують критичні вразливості у віртуальних приватних мережах (VPN). Таким чином компанії отримують повний контроль над пристроями.

За даними Censys, із 26 000 пристроїв, підключених до інтернету, 492 VPN Ivanti залишалися зараженими в різних країнах світу, включаючи:

• США (121 пристрій),
• Німеччину (26),
• Південну Корею (24)
• Китай (21).

Найбільше заражених пристроїв виявлено в хмарному сервісі Microsoft (13), за ним йдуть хмарні середовища Amazon (12) і Comcast (10). Дослідники Censys провели вторинне сканування серверів Ivanti Connect Secure і виявили 412 унікальних хостів з бекдором, а також 22 різних варіанти шкідливого ПЗ. Це може вказувати на безліч зловмисників або одного, що змінює свої тактики.

Йдеться про дві вразливості нульового дня у веб-компонентах Ivanti Connect Secure та Ivanti Policy Secure всіх підтримуваних версій:

CVE-2023−46 805: вразливість обходу автентифікації - дозволяє віддаленому зловмиснику отримати доступ до обмежених ресурсів, оминаючи контрольні перевірки;

CVE-2024−21 887: вразливість впровадження команд — дозволяє аутентифікованому хакеру відправляти спеціально створені запити та виконувати довільні команди на пристрої.

За словами Censys, докази компанії свідчать, що кіберзлочинці мотивовані цілями шпигунства. Ця теорія збігається з нещодавніми звітами компаній Volexity та Mandiant. Дослідники Volexity припускають, що загроза походить від «китайського державного зловмисника» UTA0178.

Нагадаємо — агентство з кібербезпеки та захисту інфраструктури (CISA) та Федеральне бюро розслідувань (ФБР) попередили, що китайські дрони можуть використовуватися для збору інформації про критичну інфраструктуру різних країн. Влада США побоюється, що Китай використовує інформацію з дронів для виявлення вразливостей у системах безпеки та для планування майбутніх кібератак.