Китайские хакеры прячутся в «слепой зоне»: ORB как новый уровень маскировки

Китайские хакеры стали чаще использовать обширную сеть прокси из VPS-серверов и взломанных онлайн-устройств для проведения шпионажа.

Такие прокси-сети состоят из блоков оперативной ретрансляции (Operational Relay Box, ORB), администрируются независимыми киберпреступниками, которые предоставляют к ним доступ правительственным хакерам. ORBs напоминают ботнеты, но могут быть гибридом арендуемых VPS и скомпрометированных IoT-устройств.

Сеть ORB3/SPACEHOP

Mandiant отслеживает несколько сетей ORB, две из которых активно используются китайскими APT-группами. Одна из таких сетей, названная ORB3/SPACEHOP, активно используется группировками APT5 и APT15 для разведки и эксплуатации уязвимостей.

SPACEHOP была использована в декабре 2022 года для эксплуатации уязвимости CVE-2022-27518 в Citrix ADC и Gateway, которую АНБ связало с группой APT5. Специалисты Mandiant утверждают, что SPACEHOP использует релейный сервер, размещенный в Гонконге или Китае, и устанавливает открытую C2-инфраструктуру для управления узлами.

Сеть ORB3/SPACEHOP

Сеть ORB2/FLORAHOX

Сеть ORB2/FLORAHOX представляет собой гибридную сеть, состоящую из C2-сервера, скомпрометированных подключенных устройств (маршрутизаторы и IoT) и VPS, которые пропускают трафик через TOR и несколько взломанных роутеров. Исследователи считают, что эта сеть используется в шпионских кампаниях разнообразными китайскими группами для маскировки исходного трафика.

Сеть состоит из нескольких подсетей, включающих устройства, скомпрометированные при помощи FLOWERWATER и других полезных нагрузок на базе маршрутизатора. Несмотря на использование ORB2/FLORAHOX различными группами угроз, Mandiant сообщает о кластерах активности, приписываемых китайским APT31/Zirconium, которые сосредоточены на краже интеллектуальной собственности.

Сеть ORB2/FLORAHOX

Сложности защиты предприятий

Использование ORB создает значительные трудности для предприятий, так как они обеспечивают скрытность, устойчивость и независимость от интернет-инфраструктуры страны. Такие сети активно используются различными группами в течение ограниченных периодов, что усложняет их отслеживание и атрибуцию.

По данным Mandiant, срок службы IP-адреса узла ORB может составлять всего 31 день, что является особенностью сети ORB, позволяющей злоумышленникам ежемесячно обновлять значительные части своей скомпрометированной или арендуемой инфраструктуры.

Анализ трафика из сетей ORB усложняется тем, что администраторы используют поставщиков номеров ASN в разных частях мира. Это делает сети более надежными и позволяет злоумышленникам атаковать предприятия с устройств, находящихся в географической близости, что вызывает меньше подозрений при анализе трафика.

С увеличением использования ORB хакерами, защита корпоративных сред становится все более сложной задачей. Обнаружение таких сетей усложняется, атрибуция становится более проблематичной, а индикаторы инфраструктуры противника менее полезны для защитников. В условиях растущей угрозы кибершпионажа, предприятиям необходимо разрабатывать новые стратегии защиты и адаптироваться к новым методам атаки.