Исследователи Mandiant говорят, что хакеры, ответственные за недавнюю кампанию против устройств шлюза безопасности электронной почты (ESG) Barracuda, провели последующие атаки на скомпрометированные организации, которые являются «высокоприоритетными целями» китайского правительства, и приложили значительные усилия, чтобы обойти меры по исправлению ситуации с помощью жертвы.
Ранее неизвестная группа угроз UNC4841, которая, как заявили в этом месяце Mandiant и ФБР, имеет явные связи с Китаем, скомпрометировала устройства Barracuda ESG по всему миру в период с октября 2022 года по июнь 2023 года.
Компания Mandiant была нанята Barracuda для расследования атак, когда они были обнаружены в мае, и тесно сотрудничала с пострадавшими организациями и властями в нескольких юрисдикциях.
В опубликованном сегодня исследовательском отчете компания Mandiant сообщила, что ее анализ показывает, что UNC4841 смог развернуть дополнительное вредоносное ПО для поддержания присутствия в меньшей группе сетей, на которые он был нацелен, даже несмотря на то, что организации изо всех сил пытались устранить первоначальные атаки.
Ограниченное число жертв по-прежнему подвергалось риску из-за нового вредоносного ПО с бэкдором под названием DEPTHCHARGE, которое группа угроз развернула для поддержания устойчивости в ответ на усилия по исправлению ситуации.
«Развертывание UNC4841 избранных бэкдоров предполагает, что этот злоумышленник предвидел и подготовился к усилиям по устранению, заранее создав инструменты, чтобы оставаться встроенными в важные цели, если кампания будет скомпрометирована», — пишут исследователи Остин Ларсен, Джон Пальмизано, Джон Вольфрам, Мэтью Потачек и Майкл Рэгги.
«Это также предполагает, что, несмотря на глобальный охват этой операции, она не была оппортунистической, и что UNC4841 имела адекватное планирование и финансирование для прогнозирования и подготовки к непредвиденным обстоятельствам, которые потенциально могли нарушить их доступ к целевым сетям».
Ведущий автор отчета, старший консультант Mandiant по реагированию на инциденты — Google Cloud Остин Ларсен, сообщил SC Media в своем заявлении, что шпионские группы, связанные с Китаем, работают над улучшением своих операций, чтобы сделать их более действенными, скрытными и эффективными.
«Мы боремся с грозными противниками, которые могут похвастаться огромными ресурсами, финансированием и ноу-хау, позволяющими успешно проводить глобальные шпионские кампании незамеченными», — сказал он.
В ходе кампании было скомпрометировано около 5% всей техники Barracuda ESG по всему миру. Мандиант сказал, что, хотя UNC4841 намеревался поддерживать постоянство на подмножестве этих устройств, с тех пор как Barracuda выпустила патч для первоначальной уязвимости удаленного внедрения команд (CVE-2023-2868), новых компрометаций дополнительных устройств обнаружено не было.
Государственные учреждения и технологические компании подверглись атакам
Изучая инструменты, использованные UNC4841, компания Mandiant заметила отчетливый акцент на правительственных организациях, компаниях информационных технологий и других высокотехнологичных объектах, что «поддерживает оценку того, что кампания имела шпионскую мотивацию», говорят исследователи.
Одной правительственной организацией, которая, как было подтверждено, была скомпрометирована в ходе кампании, было правительство австралийской столичной территории, которое управляет австралийской федеральной территорией, на которой находится столица страны Канберра.
UNC4841 был замечен при попытке войти в почтовые ящики Outlook Web Access, принадлежащие пользователям из организаций-жертв.
Судя по свидетельствам, когда хакерская группа действительно получила доступ к учетным записям электронной почты. В тех случаях, когда UNC4841 удавалось получить несанкционированный доступ к ограниченному числу учетных записей, они, по-видимому, не отправляли никаких электронных писем со скомпрометированной учетной записи и не принимали явно заметных действий. действия. Мандиант считает, что группа, вероятно, пыталась сохранить доступ к почтовым ящикам скомпрометированных пользователей и собрать информацию.
«Благодаря продемонстрированной сложности и доказанному желанию сохранить доступ Mandiant ожидает, что UNC4841 продолжит изменять свою тактику, методы и процедуры, а также модифицировать свой набор инструментов, поскольку сетевые защитники продолжают принимать меры против этого противника, а их деятельность еще больше раскрывается со стороны безопасности. сообщество.»
23 августа ФБР посоветовало клиентам Barracuda ESG немедленно удалить эти устройства из своих сетей. В бюро заявили, что патчи, выпущенные Barracuda в ответ на уязвимость, используемую UNC4841, оказались неэффективными.
Взлом Barracuda — вторая крупная китайская шпионская кампания, направленная против западных правительств, раскрытая за последние несколько месяцев. В июле Microsoft сообщила, что отдельная хакерская группа, связанная с Пекином, получила закрытый ключ шифрования, который предоставил им широкий доступ к облачным сервисам Outlook и Exchange, который был использован для компрометации как минимум 25 организаций, включая учетные записи электронной почты министра торговли Джины. Раймондо и чиновники Государственного департамента.
После раскрытия информации Microsoft исследователи из Wiz заявили, что украденный ключ Microsoft, использованный в кампании, дал бы китайским хакерам доступ к гораздо более широкому спектру сервисов Microsoft, включая SharePoint, Teams, OneDrive, клиентские приложения, поддерживающие функцию «вход с помощью Microsoft». и мультитенантные приложения в определенных условиях.
Руководитель исследовательского отдела Wiz Шир Тамари заявил, что из-за политики Microsoft взимать дополнительную плату за ведение журнала безопасности для многих клиентов Microsoft практически невозможно узнать, пострадали ли они от кампании, или обнаружить признаки компрометации. Неделю спустя Microsoft отступила от этой политики, объявив, что в будущем она сделает определенные формы регистрации безопасности бесплатными для всех клиентов.