3 Minute
Atacatori Cibernetici Asociați Chinei Compromit Guvernul Francez prin Exploatarea Vulnerabilităților Zero-Day Ivanti
La sfârșitul anului 2024, guvernul francez împreună cu mai multe sectoare comerciale cheie, printre care telecomunicațiile, finanțele și transporturile, au fost victima unui atac cibernetic avansat orchestrat de hackeri susținuți de statul chinez. Utilizând mai multe vulnerabilități zero-day descoperite în dispozitivele Ivanti Cloud Services Appliance (CSA), atacatorii cibernetici au reușit să pătrundă în rețele sensibile și să acceseze date valoroase, ceea ce a ridicat semnale de alarmă privind securitatea cibernetică atât în Europa cât și la nivel global.
Detalii despre Exploatările Zero-Day
Agenția Națională pentru Securitatea Sistemelor Informatice din Franța (ANSSI) a confirmat oficial că breșele au fost posibile prin exploatarea a trei vulnerabilități critice din Ivanti CSA: CVE-2024-8963, CVE-2024-9380 și CVE-2024-8190. Aceste defecte de securitate nu fuseseră remediate la momentul atacului, oferind atacatorilor oportunitatea de a fura date de autentificare, de a dezvolta persistență pe termen lung în sistemele compromise și de a evita detectarea.
Specialiștii în securitate cibernetică au descoperit că în timpul atacului au fost folosite tehnici avansate, printre care instalarea de web shell-uri PHP, modificarea scripturilor PHP legitime pentru a introduce funcționalități de remote shell, precum și uzul modulelor kernel malițioase cu rol de rootkit-uri.
Grupul Houken și Tacticile Sale
Atacurile coordonate au fost atribuite notoriului grup Houken, cunoscut anterior pentru exploatarea unor vulnerabilități SAP NetWeaver de profil înalt și utilizarea backdoor-urilor personalizate GoReShell. Experții în inteligență asupra amenințărilor afirmă că Houken prezintă similitudini operaționale considerabile cu grupul UNC5174, monitorizat recent de echipa Mandiant a Google.
Strategia Houken presupune exploatarea atât a vulnerabilităților zero-day de ultimă generație, cât și a unor instrumente open-source dezvoltate preponderent de programatori vorbitori de chineză. Infrastructura acestui grup este descentralizată, folosind servicii VPN comerciale și servere dedicate pentru a-și camufla activitatea și a crește rezistența la acțiuni de contracarare.
Impact la Nivel Global și Riscuri Persistente
Deși Houken a avut anterior ca ținte sectoare guvernamentale și educaționale din Asia de Sud-Est, China, Hong Kong și Macao, activitățile sale recente în țări occidentale s-au axat pe domenii critice precum agenții guvernamentale, instituții de apărare, mediul academic, mass-media și operatorii de telecomunicații.
Investigațiile sugerează că această operațiune cibernetică nu a fost realizată de o singură entitate, ci a fost rezultatul unei scheme coordonate în care un grup era responsabil cu accesul inițial în rețele, ulterior vânzând această breșă altor atacatori interesați de informații sensibile sau date proprietare. Acest lucru evidențiază piața în creștere a brokerilor de acces inițial din mediul criminalității cibernetice.
Implicații pentru Securitatea Cibernetică și Reacția Pieței
Acest atac cibernetic de amploare subliniază importanța gestionării vulnerabilităților în timp real și riscurile pe care le reprezintă dispozitivele cloud neactualizate în infrastructurile critice. Pentru organizațiile care utilizează echipamente Ivanti sau platforme similare de management în cloud, implementarea unui program proactiv de management al patch-urilor și a soluțiilor de securitate pe mai multe niveluri este esențială pentru reducerea riscurilor cibernetice actuale și viitoare.
De asemenea, acest incident demonstrează evoluția continuă a piețelor de criminalitate informatică și necesitatea colaborării globale în domeniul schimbului de informații despre amenințări și răspuns la incidente.
Sursa: techradar
Comentarii