Нова тактика на кибернападателите: хакване на интернет доставчици
Мрежите на интернет доставчиците са привлекателна цел за кибепрестъпниците
(снимка: CC0 Public Domain)
Тактиките на кибепрестъпниците непрекъснато еволюират. Напоследък се следи нова наклонност – хакерите се научиха по какъв начин всеобщо и безшумно да популяризират злотворен програмен продукт посредством пробиви в системите на интернет доставчиците.
Китайската хакерска група StormBamboo, известна още като Evasive Panda, хакна интернет снабдител и стартира да заразява компютрите на неговите клиенти със злотворен програмен продукт, заяви PCMag.
Новата тактичност е засечена от специалисти по киберсигурност на компанията Volexity, до момента в който са разследвали киберинцидент с хакване на ресурсите на неназована организация
Първоначално експертите на Volexity допускат, че защитната стена на атакуваната организация е била компрометирана, само че по-нататъшно следствие разкрива, че произходът на зловредния програмен продукт е „ нагоре по веригата до равнище ISP ”.
Източникът на казуса се оказва „ отравяне на DNS ” – офанзива, при която хакер манипулира системата за домейн имена и пренасочва потребителския трафик към злонамерени уеб запаси.
Volexity е уведомила интернет доставчика за казуса и той, от своя страна, е ревизирал работата на оборудването, което маршрутизира трафика в мрежата. След рестартиране и изключване на някои мрежови съставни елементи, признаците на DNS отравянето стопират.
Експертите по киберсигурност упрекват за офанзивата китайската хакерска група StormBamboo, известна още като Evasive Panda.
След като прихващат контрола върху DNS системата в мрежата на интернет доставчика, нападателите заменят ресурсите, до които потребителските стратегии имат достъп за актуализации на софтуера – по-специално безплатния медиен плейър 5KPlayer, със зловредни такива.
Когато приложенията се опитат да получат актуализации, вместо това към тях потеглят пакети със злотворен програмен продукт. Хакерите на StormBamboo са употребявали този модел на офанзива върху няколко софтуерни продукта, които употребяват несигурни механизми за актуализиране.
Volexity не разкрива интернет доставчика или броя на компютрите, наранени от офанзивата, само че приказва за „ голям брой произшествия ”, които датират от средата на 2023 година
Компютрите на жертвите работят с Windows и macOS, а измежду зловредния програмен продукт са стратегии като MACMA и MGBot – те разрешават на нападателите да вършат отдалечени екранни фотоси, да прихващат натискания на клавиши и да крадат файлове и пароли.
Твърди се също по този начин, че в офанзивата против ресурсите на интернет доставчика нападателите са употребявали зловредния програмен продукт CATCHDNS, предопределен да работи в Linux среда.
Източник: technews.bg
КОМЕНТАРИ