UNC4841 — настоящие спецагенты или просто хакеры высокого класса?
Как китайская группировка проникла в почтовые шлюзы Barracuda и взломала десятки организаций.
Компания Mandiant с уверенностью подтвердила , что китайские хакеры из группировки UNC4841 активно эксплуатировали zero-day уязвимость CVE-2023-2868 в продуктах Email Security Gateway (ESG) компании Barracuda. Атаки продолжались долгое время и были направлены преимущественно против правительственных организаций США, Канады и ряда других стран.
Уязвимость CVE-2023-2868 позволяет удалённо выполнить код на устройстве жертвы. О существовании бреши стало известно лишь в мае этого года, когда как реальные атаки с использованием этой уязвимости датируются и вовсе прошлым годом .
Компания Barracuda выпустила исправляющий патч 20 мая, однако впоследствии выяснилось, что он абсолютно неэффективен. В связи с этим компанию недавно даже раскритиковали представители ФБР.
В конечном итоге Barracuda пришла к тому, что для надёжной защиты клиентских сетей уже не помогут никакие программные патчи, и клиентам необходимо физически заменить уязвимые устройства .
Эксперты Mandiant провели углубленное расследование деятельности хакеров UNC4841 и выявили две волны атак. Первая началась ещё в ноябре 2022 года, а вторая — в мае-июне 2023 года, уже после выхода неэффективного патча. Во второй волне злоумышленники использовали новые вредоносные программы Skipjack, Depthcharge и Foxtrot для сохранения доступа к наиболее ценным целям.
По словам экспертов, группировка UNC4841 действует в интересах китайских спецслужб и отличается высоким профессионализмом. Более 15% жертв — национальные правительственные организации, 10% — местные органы власти.
Также атакам подверглись компании в сфере высоких технологий, телекоммуникаций, образования. В целом, это согласуется с разведывательными интересами Китая.
Эксперты Mandiant не смогли связать UNC4841 ни с одной известной китайской хакерской группировкой, хотя и обнаружили некоторые пересечения в инфраструктуре с другой группой — UNC2286. Но это может просто указывать на взаимодействие между различными китайскими группировками.
Таким образом, продолжительный киберинцидент продемонстрировал высокий уровень подготовки и настойчивости китайских хакеров. Несмотря на попытки противодействия, им удалось сохранить доступ к ценным системам и продолжить свою шпионскую деятельность.
Эксперты Mandiant считают, что хакеры UNC4841 продолжат свою вредоносную операцию в будущем, но уже с использованием обновлённых инструментов и методов. Пострадавшие организации должны провести тщательные расследования безопасности своих сетей и хорошо подготовиться к следующей возможной волне атак.
Цифровые следы - ваша слабость, и хакеры это знают.