ArcaneDoor – Златният щит на Китай, или как цензурата се използва за шпионаж
Компанията Censys, която стои зад платформа за събиране и разбор на данни за положението на интернет разкри информация за нова акция за кибершпионаж, наречена „ ArcaneDoor “, за която се твърди, че е обвързвана с Китай.
Съобщава се, че офанзивите са почнали през юли предходната година, като първата офанзива е записана през януари тази година.
Атаките са били осъществени от групата UAT4356 (Storm-1849), която е употребила два типа злотворен програмен продукт: Line Runner и Line Dancer. Програмите са били въведени посредством уязвимости в Cisco Adaptive Security Appliances, които към този момент са закърпени от разработчиците (CVE-2024-20353 с CVSS оценка 8,6 и CVE-2024-20359 с CVSS оценка 6,0).
Проучването откри, че хакерите са се интересували от Microsoft Exchange сървъри и устройства на други снабдители. След като проучва IP адресите на хакерите, Censys означи, че е допустимо китайско наличие. Четири от петте хоста, употребяващи SSL документи, свързани с инфраструктурата на нападателите са в мрежите на Tencent и ChinaNet.
Откритите хостове Освен това един от хостовете се намира в Париж и е обвързван с инструмента за битка с цензурата Marzban. Като се има поради, че Marzban е създаден от китайски разработчици е ясно, че той е основан, с цел да заобиколи Голямата защитна стена (Златният щит) на Китай.
Определянето на това дали хакерските атаки са спонсорирани от китайските управляващи изисква повсеместен метод. Макар че анализът на мрежите, в които се намира инфраструктурата на хакерите е част от пъзела, има и други фактори, които би трябвало да се вземат поради, като да вземем за пример методите на офанзива, жертвите и геополитическия подтекст. Специализираните следствия евентуално ще продължат, когато стане налична повече информация за задачите на офанзивите.
Cisco по-рано предизвести, че Adaptive Security Appliances, които интегрират защитна стена, VPN и други съставни елементи за сигурност са били компрометирани от хакерска група, явно обвързвана с враждебна страна. Нападателите са употребявали две незнайни до момента уязвимости в продуктите на Cisco, с цел да получат достъп до държавни обекти по целия свят.
