Под прицел: Китайски хакери атакуват Linux-базирани системи по целия свят
Експертите на Mandiant оповестяват, че китайската хакерска формация UNC5174 употребява уязвимости в известни артикули, с цел да популяризира злотворен програмен продукт, кадърен да конфигурира спомагателни задни малки врати на компрометирани Linux хостове.
Атаките на UNC5174 са обхванали необятен кръг от цели – от проучвателен и просветителни институции в Югоизточна Азия и Съединени американски щати, до предприятия в Хонконг, благотворителни и неправителствени организации и държавни организации на Съединени американски щати и Обединеното кралство в интервала октомври-ноември 2023 година до февруари тази година.
Основният способ за първичен достъп е бил да се употребяват известни уязвимости в системи като да вземем за пример:
Успешното навлизане беше последвано от широкомащабно разузнаване и сканиране на системата за идентифициране на уязвимости в сигурността. UNC5174 също по този начин сътвори администраторски сметки, с цел да прави злонамерени действия с нараснали привилегии.
Арсеналът на нападателите включва зареждащото устройство SNOWLIGHT (базирано на C), което е предопределено да достави потребен товар на идващия стадий – задна врата GOREVERSE (базирана на Golang), която разрешава на нападателите да основат противоположен SSH тунел и да започват интерактивни шел сесии за осъществяване на случаен код.
Mandiant допуска, че UNC5174 може да работят като медиатор за първичен достъп, подкрепян от Министерството на държавната сигурност на Китай. Доказателствата включват опити за продажба на достъп до системите на американски реализатори на отбранителни услуги, английски държавни организации и азиатски институции.
