Китайские кибершпионы используют сеть домашних маршрутизаторов для сокрытия источника атак

Китайские кибершпионы используют сеть домашних маршрутизаторов для сокрытия источника атак

С помощью прокси-сети APT31 маскирует атаки таким образом, будто они исходят из национального адресного пространства страны, где находится организация.

Хакерская группировка APT31 (Zirconium), связываемая ИБ-специалистами с китайским правительством, использует взломанные домашние маршрутизаторы для формирования прокси-сети с целью скрыть настоящий источник атак, предупредило Агентство национальной кибербезопасности Франции (ANSSI).

Ведомство опубликовало список из 161 IP-адреса, использованного группировкой в атаках на французские организации. Вредоносная кампания стартовала в начале 2021 года и продолжается по сей день.

Как пояснили в ANSSI, прокси-ботнет, созданный APT31, использовался как для рекогносцировки, так и для осуществления атак.

По словам специалиста Microsoft Threat Intelligence Center Бена Келя (Ben Koehl), с помощью прокси-сети APT31 маскирует атаки таким образом, будто они исходят из национального адресного пространства страны, где находится организация. Одна из причин применения такой тактики связана с тем, что некоторые организации в целях безопасности блокируют входящий трафик с иностранных IP-адресов.

Специалисты также выявили на VirusTotal копию вредоносного импланта, который APT31 загружает на взломанные маршрутизаторы.

Группировка APT31 является одной из двух китайских APT (вторая - APT40), которые США и союзные страны недавно обвинили в масштабных атаках на серверы Microsoft Exchange, от которых пострадали десятки тысяч организаций по всему миру.



Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!