От картографии к шпионажу: популярный геосервис стал идеальным укрытием для хакерской группы

leer en español

Flax Typhoon ArcGIS ReliaQuest Integrity Technology Group SoftEther веб-оболочка VPN китайская кибератака
От картографии к шпионажу: популярный геосервис стал идеальным укрытием для хакерской группы
Flax Typhoon ArcGIS ReliaQuest Integrity Technology Group SoftEther веб-оболочка VPN китайская кибератака

Преступники оставались незамеченными более года. Как им это удалось?

image

В течение более года китайская хакерская группа использовала сервер ArcGIS в качестве тайного канала доступа, превратив его в устойчивую точку проникновения. Обнаруженная специалистами ReliaQuest кампания связана с группировкой Flax Typhoon, также известной под названиями Ethereal Panda и RedJuliett. По данным американских властей, за действиями группы стоит зарегистрированная в Пекине публичная компания Integrity Technology Group.

В основе операции лежало несанкционированное изменение серверного объекта расширения Java (SOE), применяемого в геоинформационном приложении ArcGIS. Этот элемент был превращён в полноценную веб-оболочку с зашитым ключом для ограничения доступа. Чтобы обеспечить максимальную устойчивость, вредоносный код был внедрён в резервные копии, что позволяло сохранить доступ даже после восстановления всей системы.

Flax Typhoon традиционно придерживается стратегии малозаметного присутствия в инфраструктуре жертв. Группа активно использует LotL-методы и прямое взаимодействие через командную строку, адаптируя легитимные компоненты ПО под собственные цели. В данном случае злоумышленники сумели вписаться в общий трафик серверов, избежав обнаружения средствами мониторинга.

Атака начиналась с компрометации учётной записи администратора портала ArcGIS, после чего китайские хакеры внедрили вредоносное расширение JavaSimpleRESTSOE. Оно позволяло запускать команды на внутреннем сервере через REST-интерфейс, доступный извне. Наличие жёстко закодированного ключа защищало веб-оболочку от стороннего вмешательства и даже от случайного обнаружения администраторами.

Внедрённая оболочка использовалась для разведки в сети и создания устойчивого канала связи. Для этого на сервер была загружена переименованная исполняемая копия SoftEther VPN под видом bridge.exe, помещённая в системный каталог System32. Далее создавалась служба SysBridge, запускавшая этот файл при каждом старте системы.

Процесс bridge.exe устанавливал исходящие HTTPS-соединения с IP-адресом, находящимся под контролем группы, через порт 443. Это позволяло развернуть скрытый VPN-туннель и подключиться к целевой сети как к собственной, обходя фильтры и средства отслеживания на уровне маршрутизации.

Злоумышленники также сосредоточились на взломе рабочих станций IT-сотрудников, чтобы получить их учётные данные и углубиться в инфраструктуру. Анализ показал, что атакующие уже имели доступ к административной учётной записи и сумели сбросить её пароль.

По оценке специалистов ReliaQuest, данный инцидент подчёркивает серьёзную опасность использования доверенных системных компонентов в качестве средств обхода защиты. Главное в подобных случаях — не только отследить подозрительную активность, но и научиться распознавать, как легитимные функции могут быть превращены в инструмент атаки.